Selama dekade terakhir, jumlah dan tingkat kerumitan serangan siber oleh kelompok peretas pro-pemerintah dan penjahat siber yang bermotivasi finansial telah meningkat secara signifikan. Orang-orang, perusahaan dan organisasi pemerintah tidak lagi dapat percaya diri dalam keamanan dunia maya, serta dalam integritas dan keamanan data mereka. Internet telah menjadi sistem peredaran darah peradaban kita. Namun, kebebasan komunikasi dan peluang global yang disediakan oleh Internet semakin terancam: plum dan kebocoran data, serangan dunia maya oleh negara-negara yang bertikai - ini adalah kenyataan yang kita semua hidupi saat ini.

Tren terkemuka dan paling menakutkan pada 2019, kami mempertimbangkan penggunaan senjata cyber
dalam operasi militer terbuka. Konflik antar negara telah mengambil bentuk baru, dan aktivitas dunia maya memainkan peran utama dalam dialog destruktif ini. Serangan terhadap infrastruktur kritis dan destabilisasi Internet yang ditargetkan di masing-masing negara mengantar era baru serangan cyber. Kami yakin bahwa keberadaan yang damai tidak lagi mungkin terpisah dari keamanan dunia maya: tidak ada negara, tidak ada perusahaan, tidak ada yang bisa mengabaikan faktor ini.

Enam tahun lalu, kami merilis laporan Tren Kejahatan Teknologi Tinggi pertama. Kemudian itu adalah satu-satunya studi tentang tren kejahatan dunia maya di Rusia dan salah satu yang pertama di dunia. Seperti sebelumnya, laporan tahunan Grup-IB menunjukkan perubahan yang terjadi sepanjang tahun, menjadi sumber tunggal dan paling lengkap dari data strategis dan taktis tentang ancaman dunia maya saat ini di dunia. Penelitian ini menggambarkan periode H2 2018 - H1 2019.

Melakukan operasi militer terbuka menggunakan senjata cyber

Dalam 6 bulan pertama 2019, tiga operasi militer terbuka menjadi dikenal: pada bulan Maret, sebagai akibat dari serangan terhadap pembangkit listrik tenaga air Venezuela, sebagian besar negara dibiarkan tanpa listrik selama beberapa hari, pada bulan Mei, sebagai tanggapan terhadap serangan cyber, tentara Israel melancarkan serangan rudal terhadap peretas Hamas, dan pada bulan Juni, AS menggunakan senjata dunia maya untuk melawan sistem kendali peluncuran rudal Iran sebagai tanggapan terhadap pesawat Amerika yang jatuh.

Tidak ada alat penyerang dipasang, dan dalam kasus terakhir, serangan dunia maya terjadi hanya beberapa hari setelah insiden drone. Ini mengkonfirmasi asumsi bahwa infrastruktur kritis di banyak negara telah dikompromikan, dan penyerang tidak diketahui sampai saat yang tepat.

Pelanggaran stabilitas Internet di tingkat negara

Di dunia modern, kerusakan sosial dan ekonomi maksimum dapat disebabkan oleh terputusnya orang dan bisnis dari komunikasi. Pada saat yang sama, negara-negara yang membangun kontrol akses terpusat ke Internet menjadi lebih rentan dan mungkin menjadi target pertama.
Dalam beberapa tahun terakhir, serangan pada berbagai tingkatan infrastruktur komunikasi telah diuji, dan pada tahun 2019 ada kasus serangan yang berhasil pada perutean Internet dan pembajakan BGP, pada pendaftar nama domain, administrator server DNS root, administrator domain negara dan pembajakan DNS, pada sistem penyaringan lokal dan pemblokiran lalu lintas.

Ancaman baru terkait dengan adopsi 5G yang meluas

Beralih ke teknologi 5G hanya akan memperburuk situasi ancaman bagi industri telekomunikasi. Alasan pertama adalah fitur arsitektur yang membuka peluang untuk jenis serangan baru pada jaringan operator. Alasan kedua adalah persaingan untuk pasar baru, yang dapat mengarah pada demonstrasi kemampuan peretasan vendor individual dan munculnya sejumlah besar studi anonim tentang kerentanan solusi teknologi tertentu.

Ancaman tersembunyi dari kelompok pro-pemerintah

Terlepas dari kenyataan bahwa sejumlah besar studi tentang kelompok pro-pemerintah yang baru telah diterbitkan selama periode terakhir, area ini masih kurang dipahami. Kegiatan 38 kelompok itu diperhatikan (7 - baru, yang tujuannya adalah spionase), tetapi ini tidak berarti bahwa kelompok terkenal lainnya telah menghentikan kegiatan mereka - kemungkinan besar, kampanye mereka tetap di bawah radar analis.

Misalnya, di sektor energi, hanya dua kerangka kerja yang diketahui - Industroyer dan Triton (Trisis) - dan keduanya ditemukan sebagai akibat dari kesalahan operator mereka. Kemungkinan besar, ada sejumlah besar ancaman serupa yang tidak terdeteksi, dan ini adalah bom waktu.

Perlu juga dicatat bahwa kelompok-kelompok pro-pemerintah yang dikenal di ruang publik terutama dari negara-negara berkembang, namun informasi mengenai serangan dan alat-alat kelompok-kelompok semacam itu dari negara-negara maju masih belum dipublikasikan.

Reverse hacking: oposisi kelompok pro-pemerintah

Pada 2019, kasus-kasus kemunculan informasi yang tersedia untuk umum
tentang alat menyerang atas nama yang diduga peretas atau mantan anggota grup. Paling sering, ini adalah contoh dari peretasan balik, ketika penyerang sendiri menjadi korban. Saat ini, perusahaan swasta tidak memiliki hak untuk melakukan operasi seperti itu, dan hanya layanan negara khusus yang secara resmi memiliki kekuatan seperti itu.

Serangan yang ditargetkan pada bank asing oleh kelompok berbahasa Rusia

Hanya 5 grup sekarang yang menjadi ancaman nyata bagi sektor keuangan: Cobalt, Silence, MoneyTaker - Rusia, Lazarus - Korea Utara, SilentCard - grup baru dari Kenya.
Di Rusia, kerusakan dari serangan yang ditargetkan pada bank oleh kelompok bermotivasi finansial selama periode studi menurun hampir 14 kali. Hal ini disebabkan, antara lain, untuk mengalihkan fokus kelompok bermotivasi finansial berbahasa Rusia ke bank asing.

Hilangnya trojan secara bertahap untuk PC dan Android

Tren hilangnya Trojan untuk PC dari lanskap ancaman cyber terus berlanjut: di Rusia - di "rumah" jenis malware ini - mereka berhenti menulisnya. Brasil adalah satu-satunya negara yang secara aktif menciptakan trojan, tetapi penggunaannya hanya lokal. Hanya Trickbot yang telah berevolusi secara signifikan selama setahun terakhir dan sekarang dapat digunakan baik untuk serangan yang ditargetkan pada bank dan untuk memata-matai agen pemerintah, seperti halnya dengan Trojan Zeus.

Trojan untuk Android menghilang lebih lambat daripada PC, namun, dalam hal apa pun, jumlah yang baru beberapa kali lebih sedikit dari yang usang. Program baru berkembang dari intersepsi SMS ke transfer dana otomatis melalui aplikasi mobile perbankan - pengisian otomatis.
Jumlah Trojan aktif akan terus menurun karena pengenalan pertahanan dan pengurangan tajam dalam manfaat ekonomi bagi penyerang.

Evolusi rekayasa sosial tanpa kode berbahaya

Terhadap latar belakang jatuhnya Trojan, ancaman rekayasa sosial tanpa menggunakan kode berbahaya semakin meningkat. Penyerang terus menggunakan akun palsu di jejaring sosial, melakukan panggilan dari nomor yang dapat diandalkan menggunakan skrip yang dirancang dengan baik, dan membeli untuk keandalan
basis data paspor, dll. Metode rekayasa sosial yang relatif baru termasuk mengendalikan telepon dengan bantuan program akses jarak jauh yang dipasang oleh korban di perangkat mereka di bawah bimbingan penipu telepon.

Pertumbuhan Pasar Carding Melalui JS Sniffer

Dengan penurunan dalam pengembalian finansial dari penggunaan Trojan perbankan untuk PC dan Android, penyerang mulai menggunakan cara yang lebih efektif untuk mendapatkan uang - JS-sniffers. Sudah, jumlah mereka melebihi jumlah trojan, dan jumlah kartu yang dikompromikan dengan bantuan mereka meningkat sebesar 38%. Sniffer JS akan menjadi ancaman yang paling berkembang secara dinamis, terutama untuk negara-negara di mana 3D Secure tidak umum.

Serangan baru terhadap perusahaan asuransi, konsultasi dan konstruksi

Pada 2019, spesialis Grup-IB mencatat serangan oleh grup baru bernama RedCurl. Tujuan utama grup ini adalah spionase dan keuntungan finansial. Setelah menurunkan dokumentasi yang signifikan, penyerang memasang penambang ke dalam infrastruktur perusahaan yang dikompromikan.
Keunikan dari grup ini adalah kualitas serangan phishing yang sangat tinggi - untuk setiap perusahaan, penyerang membuat surat terpisah. RedCurl menggunakan trojan eksklusif unik yang berkomunikasi dengan server manajemen melalui layanan yang sah, yang membuatnya sangat sulit untuk mendeteksi aktivitas berbahaya
dalam infrastruktur.

Selama lebih dari 16 tahun, para ahli Grup-IB telah menyelidiki insiden dunia maya dengan menganalisis alat dan infrastruktur penyerang. Setiap serangan cyber baru ditujukan
kepada perusahaan, partai politik, atau fasilitas infrastruktur penting, memberi kita kesempatan untuk melihat evolusi taktik dan alat untuk implementasinya. Kami sangat yakin bahwa organisasi publik dan aktor swasta yang memerangi kejahatan dunia maya harus berbagi data dan mempublikasikan
penelitian mereka.

Berkat penggunaan alat unik untuk memantau infrastruktur penjahat dunia maya, serta studi menyeluruh tentang penelitian tim keamanan siber lain di berbagai negara, kami menemukan dan mengkonfirmasi pola umum yang membentuk gambaran integral tentang perkembangan ancaman dunia maya. Atas dasar ini, kami merumuskan ramalan yang menjadi kenyataan setiap tahun sepanjang umur laporan.

Unduh laporan lengkap Tren Kejahatan Hi-Tech 2019/2020 di sini .