Gangguan IT yang meluas akibat pembaruan CrowdStrike pada mesin Windows mengungkapkan betapa rapuhnya sistem IT kompleks yang mendukung ekonomi global. Dampak dari insiden ini terasa nyata bagi banyak bisnis dan pelanggan mereka. Krisis ini menciptakan kekacauan ketika pengguna bisnis berjuang untuk mengetahui bagaimana harus bereaksi saat sistem mereka mengalami kegagalan total. Dengan informasi yang terbatas, banyak di antaranya beralih ke sumber online untuk mencoba memperbaiki sistem mereka. Sayangnya, krisis ini juga dimanfaatkan oleh pelaku kejahatan siber. Dalam waktu singkat, domain-domain dengan nama yang menggiurkan seperti crowdstrike-apocalypse[.]com dan crowdstrikefix[.]in didaftarkan dengan tujuan memanfaatkan kepanikan dan keputusasaan pengguna yang ingin memperbaiki sistem mereka. Beberapa situs ini belum sepenuhnya siap untuk memberikan tampilan yang meyakinkan, tetapi cukup banyak dari mereka yang berhasil menipu pengguna. Infoblox Threat Intel dengan cepat mengidentifikasi beberapa domain yang mirip dengan CrowdStrike dan memasukkannya ke dalam feed kami untuk melindungi pelanggan: – Terdeteksi 194 domain mirip CrowdStrike antara 19 Juli 2024 hingga 23 Juli 2024. – Pada 24 Juli, pelanggan Infoblox memiliki akses ke 94 domain unik mirip CrowdStrike di empat kategori feed RPZ: antimalware, suspicious-lookalikes, suspicious-noed, dan suspicious. – 60 domain yang mirip dan kemungkinan digunakan untuk phishing ditemukan dan dilaporkan ke platform intelijen ancaman kami. – 27 domain yang kemungkinan digunakan dalam aktivitas berbahaya ditemukan dan dilaporkan ke platform intelijen ancaman kami. Hal-Hal Penting yang Perlu Diketahui Dari peristiwa ini, terdapat dua pelajaran utama yang dapat diambil. Pertama, kecepatan pelaku kejahatan siber dalam memanfaatkan krisis dengan mendaftarkan domain yang mirip dengan domain asli secara cepat dan mudah. Tanpa adanya waktu untuk memberikan peringatan atau edukasi kepada pengguna, hal ini menekankan pentingnya tindakan proaktif terhadap ancaman tersebut. Tidak mungkin mengharapkan pengguna untuk selalu waspada sepanjang waktu. Untungnya, pemantauan domain mirip adalah layanan yang memungkinkan organisasi untuk mengidentifikasi pendaftaran domain baru yang berusaha meniru atau mengasosiasikan diri dengan organisasi atau merek lain yang tidak terkait. Dengan memanfaatkan layanan ini, organisasi IT dapat dengan cepat mendeteksi serangan oportunistik serta domain yang digunakan untuk menargetkan pengguna mereka. Kedua, penting untuk mengaitkan domain mirip dengan validasi dan mitigasi ancaman. Meskipun domain mirip dapat mengidentifikasi domain yang serupa dengan target yang terancam, bagaimana Anda dapat memastikan bahwa domain baru ini bukanlah domain asli yang sedang merespons krisis? Di sinilah pemahaman tentang infrastruktur DNS yang mendasarinya sangat berperan. Melindungi Diri dengan Intelijen Ancaman DNS Di Infoblox, kami memantau domain mirip yang menargetkan organisasi. Setelah teridentifikasi, domain-domain ini dicocokkan dengan kumpulan intelijen ancaman kami yang komprehensif. Intelijen ini mencakup domain-domain berisiko tinggi yang dianggap mencurigakan berdasarkan karakteristik dan perilaku domain yang menunjukkan aktivitas berbahaya yang mungkin akan terjadi. Domain-domain berisiko tinggi ini mungkin baru saja aktif dan memiliki karakteristik yang sama dengan domain berbahaya yang telah dikenal, sehingga menimbulkan kekhawatiran. Domain ini juga termasuk domain mirip yang tampaknya meniru domain lain yang sudah dikenal tetapi menunjukkan perilaku anomali yang cukup signifikan. Domain-domain ini mungkin belum digunakan dalam kampanye malware, namun mereka terkait dengan infrastruktur pelaku ancaman yang sudah dikenal. Dalam banyak kasus serangan oportunistik, pelaku ancaman menggunakan infrastruktur yang sudah mapan atau mendaftarkan domain melalui pendaftar DNS yang kurang terpercaya. Dengan menghubungkan domain mirip dengan infrastruktur pelaku ancaman DNS yang mendasarinya, Infoblox dapat menambahkan domain-domain mirip yang mencurigakan ini ke dalam feed ancaman yang diterapkan secara otomatis pada infrastruktur DNS. Setiap pengguna yang mencoba mengakses domain-domain ini akan mengalami penolakan pada permintaan DNS mereka, sehingga mencegah mereka mengakses situs yang menipu. Intelijen ancaman ini digunakan dalam Infoblox Threat Defense untuk melindungi pelanggan dari serangan seperti domain mirip, ransomware, phishing, dan ancaman lainnya. Intelijen ancaman ini juga dapat dibagikan secara otomatis kepada titik kontrol lain dalam ekosistem keamanan organisasi, seperti firewall dan gateway, untuk membantu mereka memblokir ancaman tersebut, meningkatkan efektivitas alat-alat ekosistem dan memberikan penegakan kebijakan yang konsisten. Gangguan CrowdStrike kemungkinan bukan yang terakhir, memberikan banyak peluang bagi pelaku kejahatan siber untuk memanfaatkan krisis semacam ini. Dengan pendekatan yang proaktif, organisasi dapat melindungi pengguna mereka di masa krisis dengan memanfaatkan DNS dan intelijen ancaman berbasis DNS. Ingin tahu lebih lanjut mengenai Infoblox, silahkan hubungi infoblox@ilogoindonesia.id
