Selanjutnya saya mau cerita tentang sharing dari KrCERT/CC tentang tren of Internet Incident. KrCERT/CC adalah bagian dari KISA (Korea Internet & Security Agency). Tugasnya adalah melakukan pengawasan terhadap keamanan internet di Korea. Ada 3 tren yang dilaporkan. Yang pertama adalah ditemukannya Advancing Ransomware.
Advancing Ransomware adalah tipe ransomware yang berbeda dari ransomware yang sudah ada. Bedanya adalah advancing ransomware ini lebih susah untuk dideteksi, dan lebih sulit untuk ditangani. Malware ini script-based dan menggunakan teknik obfuscated (pengelabuan) sehingga tidak bisa dideteksi oleh antivirus. Malware ini umumnya memiliki tipe file .js, berbeda dengan ransomware biasa yang memiliki tipe file .exe. Malware ini kemudian menjalankan script untuk mengunduh malware lainnya. Tapi ada juga yang langsung menjalankan script untuk melakukan enkripsi data.Malware tidak hanya menggunakan satu macam teknik obfuscation, melainkan beberapa teknik obfuscation secara bergantian. Ransomware ini lebih sulit untuk ditangani, karena melakukan enkripsi pada MBR (Master Boot Record). Uang ransom yang diminta juga jauh lebih mahal. Ada juga ditemukan kasus dimana malware langsung menghapus data korban.
Contoh kasus yang ditemukan adalah penyebaran ransomware cryptXXX pada website P Community (16.6). Website P Community menggunakan platform iklan google (google adsense). Google menyewa sebuah intermediate server untuk mengelola iklan pada adsense. Namun penyerang berhasil menjebol server tersebut dengan memanfaatkan celah keamanan openX. Hacker kemudian memasukkan ransomware ke dalam iklan adsense. Sehingga website P Community menyebarkan ransomware melalui iklan pada google advertisement banner.
Tren kedua yang dilaporkan adalah serangan DDoS dalam skala besar. Pada (16.8) dilaporkan telah terjadi serangan DDoS dengan menggunakan 3,6 juta IP botnet. Targetnya adalah sebuah web hosting server. Tipe serangan yang digunakan adalah ACK Flooding dan DNS Reflection flooding menggunakan teknik manipulated IP packet. Kasus lainnya adalah pada 16.9 dideteksi adanya serangan DDoS dengan Bandwodth sangat besar, mencapai 278 GBps. Diduga serangan menggunakan 5000 CCTV, menggunakan teknik syn Flooding. Namun berhasil difilter oleh perangkat antiDDos di ISP.
Tren lainnya adalah peningkatan kasus Pharming. Tim KrCERT setiap bulan menemukan sekitar 400 website yang melakukan pharming. Pharming memiliki kemiripan dengan Phishing, yaitu membuat website palsu untuk mencuri informasi seperti login dan password korban. Hanya saja pharming melakukan modifikasi entry DNS, sehingga ketika korban menulis alamat URL akan langsung diarahkan (redirect) ke alamat web palsu.
Semoga Bermanfaat!
tentang pharming: https://en.wikipedia.org/wiki/Pharming