Grabit Sukses Curi 10 Ribu 'Files' dari UKM di Thailand, India dan Amerika

Warta Ekonomi, Jakarta -

Kaspersky Lab baru-baru ini menemukan serangan spionase cyber terbaru yang berorientasi bisnis disebut Grabit dan mampu mencuri sekitar 10.000 file dari UKM yang berbasis di Thailand, India dan Amerika Serikat. Daftar target Grabit ini meliputi sektor industri kimia, nanoteknologi, pendidikan, pertanian, media, konstruksi dan banyak lainnya.

Negara-negara lain yang terkena dampaknya adalah UEA, Jerman, Israel, Kanada, Perancis, Austria, Sri Lanka, Chili dan Belgia.

"Kami melihat banyak serangan spionase yang berfokus pada perusahaan, organisasi pemerintah dan entitas profil penting lainnya, sedangkan usaha kecil dan menengah jarang terlihat dalam daftar target. Tetapi Grabit menunjukkan bahwa hal ini bukan hanya ditujukan bagi "ikan besar" saja - di dunia cyber setiap organisasi, apakah organisasi tersebut memiliki uang, informasi atau bahkan pengaruh politik, bisa menarik potensi untuk seseorang atau aktor berbahaya lainnya. Grabit masih aktif, dan sangatlah penting untuk memeriksa jaringan Anda untuk memastikan Anda aman. Pada tanggal 15 Mei, keylogger Grabit yang sederhana ditemukan memiliki ribuan kredensial akun korban dari ratusan sistem yang terinfeksi. Ancaman ini tidak boleh dianggap remeh, " kata Ido Noar, Senior SecurityResearcher, Global Research & Analysis Team.

Infeksi dimulai ketika seorang pengguna dalam sebuah organisasi bisnis menerima email dengan lampiran yang tampaknya seperti file Microsoft Office Word (.doc). Pengguna mengklik untuk men-download dan program spionase kemudian dikirim ke mesin dari server jarak jauh yang telah diretas oleh para penyerang yang bertindak sebagai hub malware. Para penyerang mengontrol korban-korban mereka menggunakan Hawkeye keylogger, alat mata-mata komersial dari HawkEye Products, dan modul konfigurasi berisi sejumlah Remote Administration Tools (RATs).

Untuk menggambarkan skala operasi Grabit, Kaspersky Lab mengungkapkan bahwa sebuah keylogger di salah satu server command-and-control mampu mencuri 2.887 Sandi, 1053 Email dan 3023 username dari 4928 host yang berbeda, internal dan eksternal, termasuk Outlook, Facebook , Skype, Google mail, Pinterest, Yahoo, LinkedIn dan Twitter, serta rekening bank dan lain-lain.

Kelompok Penjahat Cyber Yang Selalu Berubah

Di satu sisi, aktor ancaman Grabit tidak bekerja ekstra untuk menyembunyikan aktivitasnya: beberapa sampel berbahaya menggunakan server hosting yang sama, dan bahkan kredensial yang sama, membahayakan keamanan mereka sendiri. Di sisi lain, para penyerang menggunakan teknik mitigasi yang kuat untuk menjaga kode mereka tersembunyi dari mata para analis. Hal ini menyebabkan Kaspersky Lab percaya bahwa di balik operasi spionase ini adalah kelompok dengan beberapa anggotanya lebih teknis dan berfokus agar tidak bisa dilacak dibandingkan anggota yang lain. Ahli analisis menunjukkan bahwa siapa pun yang memprogram malware tidak menulis keseluruhan kode dari awal.

Untuk melindungi diri dari Grabit, Kaspersky Lab menganjurkan untuk mengikuti aturan ini:

1. Lakukan pemeriksaan lokasi ini C:\Users\(PC-NAME)\AppData\Roaming\Microsoft, jika mengandung file executable, Anda mungkin terinfeksi dengan malware. Ini adalah peringatan yang Anda tidak boleh abaikan.

2. Windows System Configurations seharusnya tidak berisi grabit1.exe dalam tabel startup. Jalankan "msconfig" dan pastikan bahwa sistem tersebut bersih dari grabit1.exe.

3. Jangan membuka lampiran dan link dari orang yang Anda tidak tahu. Jika Anda tidak dapat membukanya, jangan meneruskannya kepada orang lain – carilah bantuan ke TI-administrator.

4. Gunakan solusi anti-malware yang canggih dan terbaharui, dan selalu mengikuti daftar tugas AV kepada proses yang mencurigakan.

5. Produk Kaspersky Lab mendeteksi semua sampel Grabit yang dikenal dan melindungi penggunanya terhadap ancaman tersebut.

Untuk mempelajari lebih lanjut tentang operasi "Grabit", silakan baca posting blog yang tersedia di Securelist.com.