Alih-alih menggunakan teknik peretasan tradisional yang rumit untuk membobol pertahanan, para penjahat siber kini lebih memilih untuk masuk menggunakan identiti yang dicuri atau menipu pengguna agar membukakan pintu bagi mereka.
Laporan tersebut mencatat bahwa kampanye siber saat ini tidak lagi didominasi oleh phishing sederhana. Serangan ini mengandalkan rantai serangan multi-tahap yang mencampurkan rekayasa sosial dengan eksploitasi infrastruktur yang sah.
Salah satu tren paling mengkhawatirkan yang diidentifikasi oleh Microsoft adalah lonjakan penggunaan teknik ClickFix. Metode ini menipu pengguna melalui pesan dukungan atau jendela pop-up palsu yang menginstruksikan mereka untuk menyalin dan menempelkan perintah tertentu ke dalam kotak dialog Run Windows atau terminal.
Begitu pengguna mengeksekusi perintah tersebut, kode berbahaya akan langsung berjalan di memori perangkat—sebuah proses "fileless" yang sering kali tidak terdeteksi oleh alat keamanan tradisional. ClickFix tercatat sebagai metode akses awal yang paling umum dalam setahun terakhir, mencakup sekitar 47% dari seluruh serangan yang diamati oleh pakar Microsoft.
Di sisi lain, ancaman ransomware juga mengalami transformasi teknis yang besar. Laporan tersebut mengungkapkan bahwa lebih dari 40% serangan ransomware saat ini melibatkan komponen hibrida, melonjak drastis dari angka kurang dari 5% pada dua tahun lalu.
Para operator ransomware kini memanfaatkan identitas yang dikompromikan untuk bergerak secara lateral dari infrastruktur lokal (on-premises) menuju lingkungan cloud. Di sana, mereka melakukan tindakan destruktif seperti menghapus cadangan data (backup), menghapus mesin virtual secara massal, dan mengenkripsi sumber daya cloud. Aktor canggih seperti Octo Tempest menjadi salah satu yang paling menonjol dalam memanfaatkan teknik pergerakan lateral di cloud ini.
Kesuksesan taktik baru ini didorong oleh ekonomi kejahatan siber yang semakin terspesialisasi. Access Brokers atau broker akses berperan sebagai penjaga gerbang yang tugas utamanya hanyalah membobol lingkungan perusahaan untuk kemudian menjual akses tersebut kepada kelompok lain, seperti operator ransomware atau grup eksploitasi data.
Layanan ini menjadi fondasi bagi model Cybercrime-as-a-Service (CaaS), yang memungkinkan penyerang utama fokus pada monetisasi dan pemerasan tanpa harus pusing memikirkan tahap awal penyusupan.
Microsoft menekankan bahwa pertahanan perimeter tradisional kini sudah tidak lagi memadai. Untuk menghadapi taktik "logging in" ini, organisasi disarankan untuk:
1. Menerapkan MFA Tahan Phishing: Autentikasi multifaktor tetap menjadi standar emas yang mampu memblokir lebih dari 99% upaya akses tidak sah.
2. Audit Akses Cloud: Memantau ketat identitas non-manusia (workload identities) seperti aplikasi dan skrip yang sering kali memiliki hak akses tinggi namun proteksi lemah.
3. Pelatihan Kesadaran: Mengedukasi karyawan bahwa menyalin perintah dari sumber yang tidak dikenal (ClickFix) sama bahayanya dengan mengeklik tautan mencurigakan.
Laporan ini ditutup dengan peringatan bahwa ketahanan siber harus dirancang sejak awal (Resilience by Design) ke dalam sistem dan proses tata kelola organisasi, karena pelanggaran keamanan kini dianggap sebagai masalah "kapan", bukan lagi "jika".
Cek Berita dan Artikel yang lain di
Google News
