Perkembangan era digital yang ada saat ini telah memungkinkan dunia untuk terhubung. Entitas global ini dapat berbagi informasi dan data dengan lebih bebas, yang skala dan besarannya semakin meningkat. Dampak dari era interkonektivitas yang sedang booming ini adalah permukaan serangan yang sangat besar: data setiap individu dan organisasi akan semakin terpapar pada pelaku ancaman.
Pasalnya, di dunia digital, data pribadi dan sensitif memiliki nilai. Bagi organisasi dan bisnis, data ini berguna untuk menyediakan produk dan layanan yang lebih baik kepada pelanggan mereka. Namun, bagi pelaku ancaman, data ini memberikan peluang untuk mempelajari korban, mengidentifikasi titik lemah digital mereka , dan mulai mengeksploitasi kerentanan tersebut untuk keuntungan finansial.
Stealer logs menawarkan peluang yang nyaman bagi pelaku ancaman untuk memberikan mereka token autentikasi dan kredensial sehingga penyerang tidak perlu membobolnya, mereka juga cukup masuk. Meskipun ada banyak metodologsi yang tersedia bagi pelaku ancaman untuk menghasilkan uang melalui aktivitas kejahatan dunia maya, artikel ini pada kali akan berfokus pada stealer logs ini.
Apa itu Stealer Logs
Stealer logs adalah kumpulan data yang dikumpulkan dari perangkat korban. Logs ini dihasilkan oleh perangkat lunak berbahaya pada perangkat target (biasanya di OS Windows). Setelah korban telah terinfeksi, malware ini mengumpulkan data pribadi dan sensitif untuk mengekstraknya kembali ke server yang dikendalikan oleh pelaku ancaman. Ada beberapa jenis stealer logs. Yang paling umum adalah Racoon, Redline, Titan, dan Vidar, namun masih banyak lagi yang bisa dan juga memang ada.
Meskipun banyak jenis virus telah dikembangkan dan dimanfaatkan, fungsi tetap konsisten dan data yang dikumpulkan serupa untuk semua varian. Stealer logs adalah hasil infeksi malware perangkat korban. Vektor infeksi mencakup berbagai teknik, namun biasanya para pelaku ancaman juga akan memanfaatkan unduhan perangkat lunak yang diretas, iklan tidak sah, atau email (tombak) phishing.
Setelah terinstal di perangkat, maka malware ini dirancang untuk berjalan secara diam-diam untuk menghindari deteksi didalam perangkat. Setelah terbentuk, malware juga akan segera memulai koneksi dengan server Command dan Control (C2) yang dioperasikan oleh para pelaku ancaman ini.
Di sini ia dapat menerima instruksi, mengunduh perangkat lunak berbahaya lebih lanjut, dan mulai mengekstrak data yang dikumpulkan. Malware itu sendiri sering kali dibuat oleh pihak ketiga. Jarang penulis yang menyebarkannya. Akses ke malware dijual melalui forum di web yang jelas dan gelap.
Jenis-Jenis Stealer Logs
Ini dapat sangat bervariasi tergantung pada jenis tujuan pembuatannya. Meskipun tujuan dasarnya sama untuk mengumpulkan dan menyimpan informasi sensitif, akan tetapi perbedaannya ini sendiri terletak pada sebuah metode dalam pengumpulan data, jenis informasi yang diprioritaskan, dan juga teknik penghindaran yang telah digunakan. Berikut adalah beberapa jenis umum untuk pada saat ini:
- Kredensial : Ini fokus pada pengumpulan nama pengguna dan kata sandi. Mereka umum terjadi dalam serangan yang menargetkan layanan online seperti jejaring sosial, platform email, dan situs e-commerce.
- Data Keuangan : Dirancang khusus untuk menangkap informasi keuangan, seperti nomor kartu kredit, rincian rekening bank, dan data transaksi.
- Informasi Browser : Mengumpulkan data dari browser web, seperti riwayat penelusuran, cookie, dan data sesi aktif.
- Dokumen dan File : Mencari dan mengekstrak dokumen, gambar, dan file tertentu lainnya yang disimpan di perangkat yang terinfeksi.
Bagaimana Data Disebarkan
Stealer logs sebagian besar berasal dari perangkat pribadi atau rumah ataupun perangkat yang tidak memiliki manfaat keamanan cyber tingkat perusahaan. Penelitian yang dilakukan memperkirakan bahwa ~1% logs merupakan milik perusahaan korban. Namun, jutaan logs ini telah diperoleh setiap minggunya, sehingga risiko terhadap jaringan perusahaan masih tetap ada. Setelah diperoleh, maka logs ini akan segera disusun dan disebarkan menggunakan salah satu dari beberapa metode berikut:
- Pasar Online : Pasar di web yang jelas dan gelap akan berisi bagian untuk menjual data stealer logs. Logs bernilai rendah akan dikelompokkan dan dijual dengan sedikit biaya. Namun, pasar lebih fokus pada penyediaan produk bagi pelaku ancaman yang mencari akses atau data tertentu. Logs yang mempunyai nilai lebih, terutama logs yang berasal dari perusahaan korban, kemungkinan besar akan dijual secara perorangan, karena akan digunakan untuk kegiatan kriminal lebih lanjut.
- Saluran Telegram Publik : Ini akan memberikan contoh koleksi lengkap yang dimiliki pelaku ancaman, biasanya dalam bentuk unduhan gratis. Hal ini memungkinkan pelanggan untuk menentukan kualitas data sebelum berkomitmen untuk membeli akses penuh. Akses ke koleksi lengkap dikenakan biaya premium dan diakses melalui saluran pribadi atau situs pribadi pelaku ancaman. Telah diamati bahwa sebagian besar saluran pribadi atau awan data pada akhirnya akan membocorkan logs ke saluran publik.
- Saluran Telegram Pribadi : Membutuhkan pembayaran untuk mengaksesnya, saluran telegram pribadi digunakan untuk menyebarkan logs yang dianggap memiliki nilai lebih, berdasarkan status korban dan isi logs tersebut. Logs sering kali dikelompokkan ke dalam kumpulan besar, dan mungkin juga dibedakan berdasarkan negara asal, atau kumpulan data tertentu yang dikandungnya (misalnya berisi kredensial untuk situs streaming premium).
Untuk Apa Data Digunakan
Penggunaan dan harga data ini akan bergantung korban. Data perorangan bernilai rendah. Data dari seseorang sering digunakan untuk mencuri akses ke layanan premium, misalnya streaming video, atau memanfaatkan taktik menakut-nakuti/ancaman yang dirancang untuk memeras pengguna agar memberikan akses lebih lanjut atau melakukan pembayaran. Kombinasi email/kata sandi digunakan sebagai metode untuk membuktikan bahwa pelaku ancaman tampaknya merupakan ancaman sah.
Korban yang lebih besar memiliki nilai yang lebih besar. Data yang diperoleh melalui stealer malware dapat digunakan untuk memanfaatkan akses ke jaringan perusahaan, dengan memberikan informasi yang diperlukan untuk melakukan serangan, mengirim email spear-phishing, atau bahkan mengakses jaringan perusahaan dari jarak jauh. Dari sana, pelaku ancaman dapat menyebarkan perangkat lunak berbahaya lainnya, untuk mendapatkan jaringan, mengganggu sistem dan juga mencuri data sensitif.
Apa Risiko Bagi Anda
Risiko bagi siapapun yang menjadi sasaran stealer malware adalah hilangnya data. Tingkat data yang dicuri tidaklah terlalu berharga, namun, terutama bagi korban korporat yang lebih besar, risiko ini sebenarnya terletak pada penggunaan data tersebut setelahnya. Kredensial dan data perusahaan dapat digunakan untuk menargetkan perusahaan guna membangun akses ke jaringan perusahaan.
Hal ini membuka jaringan untuk dieksploitasi oleh pelaku, dan akses ini dieksploitasi menggunakan ransomware dan alat malware lainnya juga untuk mengekstrak data dan juga mengganggu aktivitas bisnis. Ancaman satu ini juga dapat menimbulkan risiko signifikan terhadap bisnis, dengan dampak:
- Secara operasional – dengan tidak mampu menjalankan bisnis.
- Secara finansial – melalui hilangnya pendapatan, pembayaran uang tebusan, dan biaya reparasi.
- Secara reputasi – dari kegagalan menjaga kerahasiaan data sensitif dan/atau pelanggan
- Peraturan – mulai dari pengenaan denda akibat kehilangan data.
