Gambaran Ancaman
Mengapa repot-repot meluncurkan serangan ransomware sungguhan jika Anda bisa berpura-pura melakukannya?
Analis ancaman Barracuda baru-baru ini menemukan serangan email di mana penipu mencoba meyakinkan target bahwa mereka adalah ransomware Clop dan telah berhasil membobol jaringan perusahaan serta mencuri data sensitif. Penyerang mengancam akan mengekspos informasi tersebut kecuali korban membayar sejumlah uang yang tidak disebutkan.
Contoh Serangan yang Mengatasnamakan Ransomware Clop
Dalam email pemerasan mereka, penyerang mengklaim telah mengeksploitasi kerentanan dalam Cleo, pengembang di balik berbagai platform transfer file terkelola seperti Cleo Harmony, VLTrader, dan LexiCom. Metode serangan ini sering dikaitkan dengan ransomware Clop.
Penyerang mengklaim telah mendapatkan akses tidak sah ke jaringan perusahaan korban dan telah mengunduh serta mengekstraksi data dari server. Untuk memperkuat klaim mereka, mereka merujuk target ke sebuah artikel media yang melaporkan bagaimana Clop mencuri data dari 66 pelanggan Cleo dengan pendekatan serupa.
Para penyerang kemudian menyediakan serangkaian alamat email kontak dan mendesak korban untuk menghubungi mereka.
Tanda-Tanda yang Harus Diwaspadai
- Email dari Clop palsu kemungkinan akan merujuk pada liputan media tentang serangan ransomware Clop yang sebenarnya.
- Jika email tersebut menyertakan tenggat pembayaran 48 jam, tautan ke saluran obrolan aman untuk negosiasi pembayaran, dan nama perusahaan yang datanya telah bocor sebagian, maka Anda mungkin sedang menghadapi serangan ransomware Clop yang asli dan harus segera mengambil tindakan mitigasi.
- Jika elemen-elemen ini tidak ada, kemungkinan besar Anda hanya menjadi target penipuan
LogoKit: Kit Phishing yang Menghindari Deteksi dengan Tautan Unik dan Interaksi Real-Time
Gambaran Ancaman
Analis Barracuda menemukan platform phishing-as-a-service (PhaaS) LogoKit menyebarkan email berbahaya yang mengklaim sebagai permintaan reset kata sandi yang mendesak.
LogoKit telah aktif sejak 2022, dan fitur-fiturnya membantunya menghindari sistem keamanan tradisional, sehingga deteksi dan mitigasi menjadi jauh lebih sulit.
Salah satu kemampuan LogoKit yang paling mengkhawatirkan adalah interaksi real-time dengan korban. Ini berarti penyerang dapat menyesuaikan halaman phishing mereka secara dinamis saat korban mengetik kredensial mereka. LogoKit mengambil logo perusahaan dari layanan pihak ketiga seperti Clearbit atau database favicon Google.
LogoKit sangat fleksibel. Platform ini dapat berintegrasi dengan layanan perpesanan populer, media sosial, dan platform email untuk mendistribusikan serangan phishing-nya. Kemampuannya untuk menghasilkan halaman phishing unik untuk setiap target juga membuatnya sulit dideteksi oleh sistem keamanan tradisional.
Contoh Serangan Phishing dengan LogoKit
Dalam kampanye terbaru yang diamati oleh analis Barracuda, penyerang menyebarkan email yang tampak asli dengan subjek seperti “Reset Kata Sandi Diminta” atau “Tindakan Akun Diperlukan Segera”.
Email ini dirancang untuk membangkitkan rasa cemas dan urgensi, mendorong penerima untuk segera mengklik tautan untuk menyelesaikan masalah yang diklaim. Namun, mereka justru diarahkan ke halaman phishing yang dibuat secara dinamis oleh LogoKit.
Halaman ini dirancang agar tampak identik dengan portal login atau halaman reset kata sandi layanan yang diyakini korban. Begitu korban memasukkan kredensial mereka, informasi tersebut langsung dicuri oleh penyerang.
Tanda-Tanda yang Harus Diwaspadai
- Pola URL yang mencurigakan:
- https://ExampleURL.#.[ key + Email Korban ]
- https://ExampleURL/[ key + Email Korban ]
- https://ExampleURL.#.[ base64 encoded url + Email Korban ]
- Pola tautan yang mengarah ke Clearbit atau Favicon untuk mengambil logo:
- <img src=”https://logo.clearbit.com/Domainsasaran” >
- <img src= “https://www.google.com/s2/favicons?domain=Domainsasaran” >
Serangan Phishing yang Mengeksploitasi Lampiran SVG
Penggunaan lampiran berbahaya dalam serangan phishing, dengan sedikit atau tanpa teks dalam badan email, terus meningkat. Analis ancaman telah mengamati serangan menggunakan PDF, HTML, HTM, dokumen Word, file Excel, dan arsip ZIP.
Karena alat deteksi semakin canggih, penyerang terus menyesuaikan metode serangan mereka. Analis Barracuda baru-baru ini mencatat pergeseran ke penggunaan lampiran SVG (Scalable Vector Graphics) dalam serangan phishing. Beberapa serangan ini dikirim menggunakan platform PhaaS populer, seperti Tycoon 2FA.
SVG adalah format gambar yang ideal untuk situs web karena dapat diperbesar atau diperkecil tanpa kehilangan kualitas resolusi. File SVG umumnya ditulis dalam XML yang ramah web.
Menurut analis Barracuda, file SVG menjadi metode yang populer untuk menyebarkan muatan berbahaya karena kemampuannya untuk menyertakan skrip yang tidak terlihat mencurigakan oleh alat keamanan.
Contoh Serangan Phishing yang Mengeksploitasi File SVG
Dalam sampel yang dianalisis oleh Barracuda, serangan ini biasanya berupa permintaan transfer dana mendesak atau dirancang untuk mencuri kredensial Microsoft. Dalam serangan yang lebih kompleks, membuka lampiran email akan memicu unduhan file ZIP berbahaya.
Jika lingkungan sandbox terdeteksi, penyerang akan mengarahkan “korban” ke situs belanja online yang sah sebagai langkah pengelabuan.
Tanda-Tanda yang Harus Diwaspadai
- Jika email berisi lampiran .SVG dengan tautan yang dapat diklik, jangan berinteraksi dengan lampiran tersebut.
- Bendera merah lainnya termasuk file SVG yang meminta unduhan file tambahan serta munculnya peringatan browser atau notifikasi keamanan saat membuka file tersebut.
Bagaimana Barracuda Email Protection Dapat Membantu Organisasi Anda
Barracuda Email Protection menawarkan rangkaian fitur lengkap untuk melindungi dari ancaman email tingkat lanjut.
Layanan ini mencakup Email Gateway Defense, yang melindungi dari phishing dan malware, serta Impersonation Protection, yang melindungi dari serangan rekayasa sosial.
Selain itu, Barracuda menyediakan Incident Response dan Domain Fraud Protection untuk memitigasi risiko akun yang dikompromikan dan domain palsu. Layanan ini juga mencakup Cloud-to-Cloud Backup dan Security Awareness Training untuk meningkatkan keamanan email secara keseluruhan.
Barracuda menggabungkan kecerdasan buatan dengan integrasi mendalam ke Microsoft 365 untuk menyediakan solusi berbasis cloud yang melindungi dari serangan phishing dan impersonasi yang ditargetkan dengan sangat canggih.
Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda?
Jika tertarik, Anda bisa menghubungi barracuda.ilogoindonesia.id untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.