Graboid Cryptojacking: Bahayanya, Cara Kerja, dan Pencegahan

Di era digital saat ini, serangan cyber terus mengembangkan cara-cara baru untuk mencuri kekayaan digital dan merusak sistem yang ada. Salah satu ancaman yang muncul pada tahun 2019 adalah Graboid Cryptojacking.

Peneliti Unit 42 Palo Alto Networks mengidentifikasi worm cryptojacking baru yang mereka beri nama Graboid yang menyebar ke lebih dari 2.000 host Docker yang tidak aman. Para peneliti Unit 42 memperoleh nama tersebut dengan memberi penghormatan pada film tahun 1990-an “Tremors”. Ini disebabkan karena cacing ini berperilaku mirip dengan cacing pasir dalam film tersebut. Ia bergerak dalam kecepatan yang singkat, tetapi secara keseluruhan relatif tidak kompeten.

Ada insiden malware cryptojacking yang menyebar sebagai worm. Namun hal ini adalah pertama kalinya para peneliti Palo Alto melihat worm cryptojacking menyebar menggunakan container di Docker Engine (Edisi Komunitas). Karena sebagian besar perangkat lunak perlindungan titik akhir tradisional tidak memeriksa data dan aktivitas di dalam wadah, jenis aktivitas jahat ini mungkin sulit dideteksi.

Malware ini mendapatkan pijakan awal melalui daemon Docker yang tidak aman, di mana gambar Docker pertama kali dipasang untuk dijalankan di host yang disusupi. Malware yang diunduh dari server command and control (C2), digunakan untuk menambang Monero dan secara berkala meminta host baru yang rentan dari C2 dan memilih target berikutnya secara acak untuk menyebarkan worm.

Analisis para peneliti menunjukkan bahwa rata-rata setiap penambang, aktif 63% dari waktu dan setiap periode penambangan berlangsung selama 250 detik. Tim Docker bekerja dengan cepat bersama Unit 42 untuk menghapus gambar berbahaya begitu tim Palo Alto memberi tahu mereka tentang operasi ini.

Dalam artikel ini, kita akan menjelajahi dengan detail tentang Graboid Cryptojacking, bagaimana serangan ini beroperasi, dan dampaknya yang merugikan terhadap perangkat dan keamanan kita. Dengan memahami karakteristik dan teknik yang digunakan oleh Graboid Cryptojacking, kita akan dapat mengidentifikasi dan melindungi diri kita dari ancaman ini.

Apa Itu Graboid Cryptojacking?

Graboid Cryptojacking adalah serangan yang mengandalkan malware Graboid untuk mencuri kekuatan komputasi dan sumber daya perangkat untuk melakukan pertambangan mata uang kripto secara tidak sah. Serangan ini mampu menyusup ke dalam perangkat korban melalui berbagai metode, seperti unduhan berbahaya, serangan phishing, atau eksploitasi kerentanan pada perangkat dan jaringan. Setelah terinfeksi, malware Graboid bekerja dengan diam-diam, menggunakan daya CPU dan sumber daya perangkat lainnya untuk menambang mata uang kripto, seperti Bitcoin atau Monero.

Baca juga: Banking Malware: Bahaya Keamanan Keuangan

Cara Kerja Graboid Cryptojacking

Cara Kerja Graboid Cryptojacking

Malware yang tim Palo Alto beri nama ‘Graboid, melakukan penyebaran worm dan cryptojacking di dalam kontainer. Malware ini secara acak mengambil tiga target di setiap iterasi. Itu menginstal worm pada target pertama, menghentikan penambang pada target kedua, dan memulai penambang pada target ketiga.

Prosedur ini mengarah pada perilaku penambangan yang sangat acak. Jika host dikompromikan, penampung berbahaya tidak segera dimulai. Sebaliknya, tim peneliti harus menunggu sampai host lain yang dikompromikan memilih sistem tim peneliti dan memulai proses penambangan pada perangkat. Host lain yang disusupi juga dapat menghentikan proses penambangan secara acak. Pada dasarnya, penambang di setiap host yang terinfeksi dikontrol secara acak oleh semua host lain yang terinfeksi. Motivasi untuk desain acak ini tidak jelas. Ini mungkin saja bentuk dari desain yang buruk, teknik penghindaran yang tidak terlalu efektif, sistem mandiri, atau tujuan lain.

Serangan Graboid Cryptojacking dimulai dengan penetrasi ke perangkat yang rentan melalui serangan phishing, unduhan berbahaya, atau eksploitasi kerentanan. Setelah berhasil masuk, malware Graboid dijalankan secara otomatis dan menyusup ke dalam sistem perangkat korban. Malware ini kemudian mengarahkan sumber daya komputasi perangkat untuk melakukan penambangan mata uang kripto, tanpa sepengetahuan atau izin pengguna.

Salah satu aspek yang membedakan Graboid Cryptojacking adalah kemampuannya untuk menyembunyikan jejaknya dengan memanfaatkan teknik obfuskasi dan enkripsi. Ini membuat deteksi serangan ini menjadi lebih sulit, karena serangan tersebut mampu menyamarkan aktivitasnya dan menghindari deteksi oleh solusi keamanan yang umum digunakan.

Berikut adalah cara kerja umum Graboid cryptojacking yang kami ringkas untuk Anda:

Pengidentifikasi Kerentanan

Penjahat mencari server atau perangkat jaringan yang rentan terhadap serangan. Ini bisa menjadi server yang tidak diperbarui dengan patch keamanan terbaru, atau memiliki kelemahan dalam konfigurasi atau pengaturan keamanan.

Infiltrasi

Setelah menemukan kerentanan, penjahat memanfaatkannya untuk mendapatkan akses ke server atau perangkat jaringan tersebut. Ini bisa melalui eksploitasi remote atau menggunakan metode lain untuk mendapatkan akses yang tidak sah.

Instalasi Graboid

Setelah mendapatkan akses, penjahat menginstal perangkat lunak penambang kriptokurensi Graboid di server atau perangkat jaringan tersebut. Graboid kemudian mulai mengeksekusi operasi penambangan kriptokurensi, seperti mengeksekusi algoritma penambangan dan mengirimkan hasilnya ke dompet atau akun kripto yang dimiliki oleh penjahat.

Pemanfaatan Sumber Daya

Graboid menggunakan sumber daya server atau perangkat jaringan untuk mengeksekusi operasi penambangan. Ini termasuk penggunaan CPU, RAM, dan bandwidth jaringan. Karena penambangan kriptokurensi membutuhkan daya komputasi yang signifikan, penggunaan sumber daya ini dapat menyebabkan penurunan kinerja server atau perangkat jaringan, serta meningkatkan biaya operasional.

Penyembunyian Jejak

Penjahat sering kali berusaha untuk menyembunyikan aktivitas Graboid cryptojacking mereka dengan menggunakan teknik-teknik penyamaran, seperti enkripsi lalu lintas atau penyembunyian alamat IP. Hal ini membuatnya sulit bagi administrator jaringan atau sistem untuk mendeteksi dan menghentikan serangan tersebut.

Ekstraksi Keuntungan

Hasil dari penambangan kriptokurensi Graboid dikirim ke dompet atau akun kripto yang dimiliki oleh penjahat. Dengan demikian, penjahat dapat memperoleh keuntungan dari penambangan kriptokurensi tanpa izin.

Dampak dan Bahaya Graboid Cryptojacking

Dampak dan Bahaya Graboid Cryptojacking

Graboid cryptojacking dapat memiliki dampak yang signifikan dan bahaya yang serius, baik bagi individu maupun organisasi. Berikut adalah beberapa dampak dan bahaya utama dari serangan Graboid cryptojacking yang dapat Anda simak:

Penurunan Kinerja Perangkat

Graboid menggunakan sumber daya komputasi (seperti CPU dan RAM) dari server atau perangkat jaringan yang terinfeksi untuk menambang kriptokurensi. Ini dapat menyebabkan penurunan kinerja signifikan pada perangkat tersebut, yang dapat memengaruhi kemampuan untuk menjalankan aplikasi dan layanan secara efisien.

Biaya Operasional Tambahan

Penggunaan sumber daya tambahan oleh Graboid dapat meningkatkan biaya operasional bagi organisasi atau individu yang terkena dampaknya. Hal ini terutama berlaku untuk perusahaan hosting atau penyedia layanan cloud yang harus membayar untuk penggunaan daya komputasi tambahan yang tidak diinginkan.

Kerentanan Terhadap Serangan Lainnya

Serangan cryptojacking seperti Graboid sering kali merupakan tanda adanya kelemahan keamanan yang lebih dalam pada infrastruktur IT. Perangkat yang terinfeksi dapat menjadi target serangan yang lebih serius, seperti pencurian data, ransomware, atau serangan lain yang dapat merusak reputasi dan mengakibatkan kerugian finansial yang besar.

Kerugian Finansial

Selain biaya operasional tambahan, organisasi atau individu yang terkena serangan Graboid cryptojacking juga dapat mengalami kerugian finansial langsung. Ini bisa termasuk biaya untuk memulihkan perangkat yang terinfeksi, hilangnya pendapatan akibat penurunan kinerja sistem, atau kehilangan data yang penting.

Kehilangan Kepercayaan Pelanggan

Jika serangan cryptojacking menyebabkan gangguan pada layanan atau pengungkapan bahwa infrastruktur IT tidak aman, ini dapat mengakibatkan kehilangan kepercayaan dari pelanggan atau pengguna. Kehilangan kepercayaan ini dapat memiliki dampak jangka panjang yang signifikan terhadap reputasi dan keberlanjutan bisnis.

Pelanggaran Privasi

Serangan Graboid cryptojacking dapat mengakibatkan pelanggaran privasi bagi individu atau organisasi yang menggunakan perangkat yang terinfeksi. Penjahat yang mengontrol perangkat dapat memiliki akses ke data sensitif atau informasi pribadi yang tersimpan di dalamnya.

Kerugian Produktivitas

Penurunan kinerja perangkat akibat Graboid cryptojacking juga dapat mengganggu produktivitas pengguna yang terkait. Penurunan kinerja sistem dapat mengganggu alur kerja sehari-hari dan menghambat kemampuan pengguna untuk menyelesaikan tugas dengan efisien.

Baca juga: Cara Mendeteksi dan Mengatasi Serangan Siber

Cara Mendeteksi Graboid Cryptojacking

Cara Mendeteksi Graboid Cryptojacking

Ada beberapa tanda yang bisa Anda jadikan petunjuk bahwa sebuah sistem atau jaringan telah terinfeksi Graboid cryptojacking. Berikut adalah beberapa cara mendeteksinya:

Peningkatan Penggunaan CPU dan RAM

Salah satu tanda utama Graboid cryptojacking adalah peningkatan yang tidak biasa dalam penggunaan CPU dan RAM pada server atau perangkat jaringan. Jika Anda melihat lonjakan aktivitas yang tidak biasa pada sumber daya komputasi, ini bisa menjadi petunjuk bahwa ada program penambangan kriptokurensi yang berjalan di latar belakang.

Penurunan Kinerja Sistem

Graboid cryptojacking dapat menyebabkan penurunan kinerja sistem yang signifikan, terutama jika serangan tersebut menggunakan sumber daya komputasi yang substansial. Jika pengguna mengalami penurunan kinerja atau gangguan yang tidak biasa pada layanan, ini bisa menjadi tanda adanya aktivitas cryptojacking.

Pemeriksaan Proses Aktif

Lakukan pemeriksaan terhadap proses-proses yang sedang berjalan di sistem atau perangkat jaringan. Cari proses-proses yang mencurigakan atau tidak dikenal yang mungkin terkait dengan penambangan kriptokurensi. Namun, perlu diingat bahwa penjahat sering kali menggunakan nama proses yang tidak mencurigakan untuk menyembunyikan aktivitas mereka.

Pemantauan Aktivitas Jaringan

Gunakan alat pemantauan jaringan untuk memantau lalu lintas jaringan dan mencari tanda-tanda komunikasi dengan server penambang kriptokurensi atau dompet digital yang terkait dengan serangan Graboid cryptojacking. Peningkatan lalu lintas ke situs web atau alamat IP tertentu yang terkait dengan penambangan kriptokurensi bisa menjadi petunjuk.

Pemeriksaan Log

Periksa log aktivitas sistem dan jaringan untuk mencari tanda-tanda serangan atau aktivitas yang mencurigakan. Graboid cryptojacking mungkin meninggalkan jejak dalam log, seperti entri entri yang mencurigakan atau aktivitas yang tidak biasa dari proses tertentu.

Pemindaian dengan Perangkat Lunak Keamanan

Gunakan perangkat lunak keamanan yang dapat mendeteksi dan mencegah serangan cryptojacking, termasuk Graboid. Pemindaian rutin dengan perangkat lunak antivirus, antimalware, atau antimalware untuk deteksi cryptojacking dapat membantu mengidentifikasi ancaman tersebut.

Pemeriksaan Konfigurasi dan Izin

Tinjau konfigurasi sistem dan perangkat jaringan Anda untuk memastikan tidak ada izin atau akses yang tidak sah yang diberikan kepada program atau pengguna tertentu yang terkait dengan penambangan kriptokurensi.

Cara Mencegah Graboid Cryptojacking

Cara Mencegah Graboid Cryptojacking

Mencegah Graboid cryptojacking memerlukan kombinasi dari langkah-langkah teknis dan praktik keamanan yang baik. Berikut adalah beberapa cara untuk mencegah serangan Graboid cryptojacking:

Perbarui Perangkat Lunak

Pastikan semua perangkat lunak, termasuk sistem operasi, aplikasi, dan perangkat lunak keamanan, selalu diperbarui dengan versi terbaru. Perbaruan seringkali memperbaiki kerentanan keamanan yang dapat dimanfaatkan oleh penjahat untuk melakukan serangan cryptojacking.

Gunakan Firewall

Aktifkan firewall pada sistem Anda untuk memantau dan memblokir lalu lintas jaringan yang mencurigakan atau tidak diinginkan. Konfigurasikan firewall untuk memblokir akses yang tidak perlu ke port dan layanan yang rentan terhadap eksploitasi.

Pemantauan Aktivitas Jaringan

Gunakan alat pemantauan jaringan untuk memantau lalu lintas jaringan dan mendeteksi aktivitas yang mencurigakan, seperti koneksi ke server penambang kriptokurensi. Tindakan pencegahan yang cepat dapat dilakukan setelah mendeteksi serangan.

Pemindaian Rutin dengan Perangkat Lunak Keamanan

Lakukan pemindaian rutin dengan perangkat lunak keamanan yang dapat mendeteksi dan menghapus malware, termasuk perangkat lunak penambang kriptokurensi seperti Graboid. Pastikan perangkat lunak tersebut diperbarui secara teratur agar dapat mengenali ancaman terbaru.

Pengaturan yang Ketat pada Aplikasi dan Perangkat

Batasi akses dan izin untuk aplikasi dan pengguna yang tidak perlu. Ini termasuk membatasi hak akses administrator, meninjau dan menghapus aplikasi yang tidak dikenal atau tidak terpakai, serta memperketat konfigurasi sistem dan perangkat jaringan.

Peringatan tentang Serangan Cryptojacking

Tingkatkan kesadaran tentang serangan cryptojacking di antara pengguna dan administrator sistem. Berikan pelatihan tentang tanda-tanda serangan dan langkah-langkah yang dapat diambil untuk mencegahnya.

Penggunaan Plugin atau Ekstensi Browser

Instal ekstensi atau plugin browser yang dirancang khusus untuk mendeteksi dan mencegah skrip penambangan kriptokurensi yang berjalan di latar belakang saat mengunjungi situs web.

Pemantauan Kinerja Sistem

Perhatikan kinerja sistem Anda secara teratur. Peningkatan yang tidak biasa dalam penggunaan CPU, RAM, atau penggunaan bandwidth dapat menjadi indikasi adanya aktivitas cryptojacking.

Pembaruan Kebijakan dan Prosedur Keamanan

Tinjau dan perbarui kebijakan dan prosedur keamanan secara teratur untuk mencakup ancaman cryptojacking dan langkah-langkah pencegahan yang relevan.

Lindungi Akun dan Kredensial

Pastikan akun dan kredensial yang digunakan untuk mengakses sistem dan jaringan Anda aman. Gunakan otentikasi multifaktor, sandi yang kuat, dan praktik keamanan yang baik untuk melindungi akses ke perangkat Anda.

Kesimpulan

Graboid Cryptojacking adalah serangan yang menggunakan malware Graboid. Malware bekerja mencuri sumber daya komputasi perangkat dan menambang mata uang kripto secara tidak sah. Serangan ini memiliki dampak merugikan pada perangkat. Hal ini termasuk penurunan kinerja, konsumsi daya yang berlebihan, dan risiko terhadap keamanan dan privasi pengguna. Untuk melindungi diri dari serangan Graboid Cryptojacking, penting untuk menghindari serangan phishing, memperbarui perangkat lunak, menggunakan solusi keamanan yang handal, dan memantau aktivitas perangkat secara teratur. Dengan langkah-langkah ini, kita dapat mengurangi risiko terhadap serangan Graboid Cryptojacking dan menjaga keamanan perangkat dan data pribadi kita.

Meskipun worm cryptojacking ini tidak melibatkan taktik, teknik, atau prosedur yang canggih, worm ini dapat secara berkala menarik skrip baru dari C2, sehingga dapat dengan mudah mengubah dirinya menjadi ransomware atau malware apa pun untuk sepenuhnya mengkompromikan host dan seharusnya tidak diabaikan. Jika worm yang lebih kuat dibuat untuk mengambil pendekatan infiltrasi yang serupa, itu dapat menyebabkan kerusakan yang jauh lebih besar, jadi sangat penting bagi organisasi untuk melindungi host Docker mereka.

Heimdal Security: Proteksi Hebat dari Ancaman Cryptojacking

Deteksi Dini dan Tindakan Cepat

Heimdal Security tidak hanya memberikan perlindungan terhadap cryptojacking, tetapi juga menghadirkan deteksi dini yang memungkinkan tindakan cepat untuk mengatasi ancaman tersebut. Dengan sistem yang cerdas, Anda dapat menjaga bisnis Anda tetap aman dan terhindar dari kerugian besar.

Mengamankan Aset Digital Anda

Dengan memilih Heimdal Security sebagai solusi perlindungan dari cryptojacking, Anda dapat yakin bahwa aset digital Anda terjaga dengan baik. Perlindungan yang handal ini memastikan bahwa data sensitif dan informasi penting bisnis Anda tetap terlindungi dari serangan yang merusak.

Pertahanan Terdepan untuk Bisnis Anda

Heimdal Security bukan hanya sekadar perlindungan, tetapi juga merupakan pertahanan terdepan untuk bisnis Anda. Dengan menghadirkan lapisan keamanan tambahan, Anda dapat meningkatkan ketahanan bisnis Anda terhadap serangan cryptojacking yang semakin kompleks.

CTA ASDF Heimdal

Kania Sutisnawinata