Lampiran ini merupakan bagian dari Sophos Annual Threat Report 2024 dan menyajikan wawasan lebih dalam mengenai jenis malware dan alat yang paling sering digunakan oleh pelaku kejahatan siber dalam menargetkan bisnis kecil dan menengah (SMB). Berdasarkan data dari tim Managed Detection and Response (MDR) dan Incident Response (IR) Sophos, laporan ini merangkum berbagai ancaman utama yang membentuk lanskap keamanan siber sepanjang tahun 2024.
Jenis Malware yang Paling Sering Ditemui
Sepanjang tahun 2024, ransomware tetap menjadi ancaman yang paling dominan. Meski hanya mencakup sekitar 25% dari seluruh insiden yang dilacak oleh Sophos, hampir 60% dari kasus yang ditangani MDR dan IR sebenarnya melibatkan ancaman non-ransomware. Ini termasuk perangkat pencuri data (information stealers), alat akses jarak jauh (remote access tools), loader malware, dan perangkat lunak jahat lainnya yang digunakan untuk mengeksploitasi sistem atau menjadi pintu masuk ke serangan yang lebih besar.
Kategori malware yang paling sering terdeteksi adalah sebagai berikut:
- Loader/Downloader/Dropper menempati urutan teratas dengan 39,74%, berfungsi sebagai pintu awal infeksi yang membuka jalan bagi malware lain.
- Stealer/Spyware (malware pencuri data dan pengintai) menyumbang 18,63% dari total insiden.
- RAT (Remote Access Trojan) dan backdoor mengikuti dengan 15,52%.
- Exploit tool dan EDR killer (alat penghancur sistem deteksi) menyumbang 7,95%.
- Ancaman lainnya termasuk pembajak browser, penambang kripto (cryptominer), dan malware serbaguna lainnya. Selain itu, 9,13% dari malware yang ditemukan berasal dari layanan malware-as-a-service (MaaS).
Beberapa varian ransomware yang paling sering ditemui antara lain:
- LockBit – 4,39%
- Akira – 4,92%
- Fog – 3,51%
- RansomHub – 2,28%
- Black Basta, Playcrypt, dan lainnya masing-masing dalam kisaran 1–2%.
Selain ransomware, alat seperti ChromeLoader, Gootloader, dan Lumma Stealer juga sering terlihat digunakan sebagai loader malware dan alat pencuri informasi dalam banyak kampanye serangan.
Ancaman Non-Ransomware dan Alat Serangan yang Paling Sering Digunakan
Berdasarkan data Sophos, insiden ransomware sering kali melibatkan alat command-and-control (C2), backdoor, dan stealer sebagai bagian dari rangkaian serangan. Alat-alat ini sering kali menjadi fondasi utama yang mendukung pencurian data dan peluncuran ransomware.
Alat utama yang sering digunakan meliputi:
- Cobalt Strike – 10,56%
- Web shell – 7,22%
- SystemBC – 1,67%
- Metasploit dan Sliver – masing-masing di bawah 2%
- XMRig – 2,22%, merupakan malware penambang kripto yang sering digunakan untuk mendapatkan pendapatan pasif sebelum melakukan serangan ransomware.
Meskipun beberapa alat ini tidak diklasifikasikan secara formal sebagai malware, mereka memainkan peran penting dalam memfasilitasi serangan siber dan pengambilan data secara ilegal.
Alat “Dual-Use” (Multifungsi) yang Disalahgunakan
Salah satu tren yang masih terus berlanjut dari tahun-tahun sebelumnya adalah tingginya penggunaan alat legal dan sah yang digunakan untuk tujuan jahat. Sophos mengkategorikan alat ini sebagai “dual-use tools”—perangkat lunak yang secara resmi ditujukan untuk keperluan administrasi sistem atau pengujian keamanan, namun sering kali dimanfaatkan oleh pelaku kejahatan siber.
Berbeda dengan LOLBins (living-off-the-land binaries) yang memanfaatkan komponen asli sistem operasi, alat dual-use biasanya merupakan aplikasi mandiri yang secara sengaja diunduh dan digunakan oleh penyerang.
Beberapa alat dual-use yang paling sering ditemukan dalam insiden MDR dan IR meliputi:
- SoftPerfect Network Scanner – 19,51%, untuk pemetaan dan identifikasi perangkat jaringan.
- PsExec – 18,28%, digunakan untuk mengeksekusi perintah jarak jauh.
- AnyDesk – 17,40%, sering dipakai untuk mengakses desktop dari jarak jauh.
- Impacket – 17,05%, alat eksploitasi protokol jaringan.
- RDPclip – 16,70%, memfasilitasi pertukaran clipboard antara sesi jarak jauh dan lokal.
- Mimikatz – 11,60%, alat populer untuk mencuri kredensial login.
- Advanced IP Scanner – 10,72%, scanner jaringan umum.
- ScreenConnect, WinRAR, 7-Zip, dan Rclone – banyak digunakan untuk akses jarak jauh, kompresi file, dan eksfiltrasi data.
- Sophos Uninstall – 9,49%, alat penghapus software yang secara mengejutkan sering digunakan untuk menonaktifkan perlindungan endpoint sebelum serangan ransomware diluncurkan.
Penggunaan alat yang dirancang untuk tujuan sah ini secara jahat menunjukkan seberapa licik dan strategis pelaku ancaman dalam menyusup ke sistem target.
Penutup
Data yang disajikan dalam lampiran ini memberikan gambaran menyeluruh tentang taktik dan alat yang paling umum digunakan oleh pelaku kejahatan siber dalam menyerang bisnis kecil dan menengah. Strategi mereka kini semakin kompleks, dengan kombinasi malware khusus dan alat legal yang dimanfaatkan untuk menyusup, mengamati, dan akhirnya mengeksploitasi sistem korban.
Seiring dengan meningkatnya kompleksitas ancaman, para profesional keamanan siber harus memperluas fokus mereka. Tidak cukup hanya mendeteksi malware, tetapi juga penting untuk mengenali penggunaan mencurigakan dari alat yang sebenarnya sah. Deteksi dini, pembaruan rutin, dan segmentasi jaringan tetap menjadi fondasi penting dalam pertahanan terhadap lanskap ancaman yang terus berkembang ini.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
