Proxyjacking: Ancaman Siber Baru Pengincar Bandwith

Cryptojacking telah menjadi cukup terkenal di seluruh duni. Sumber daya korban dicuri untuk berkontribusi ke kumpulan penambangan dengan imbalan uang yang diberikan kepada penyerang. Teknik serangan siber yang kurang dikenal yang baru-baru ini sedang naik daun disebut proxyjacking.

Dengan proxyjacking, penyerang tidak hanya mencuri sumber daya tetapi juga memanfaatkan bandwidth korban yang tidak terpakai. Sistem korban secara diam-diam digunakan untuk menjalankan berbagai layanan sebagai node proxy P2P yang baru-baru ini mulai dimonetisasi oleh penyerang melalui organisasi seperti Peer2Profit atau Honeygain. Perusahaan-perusahaan ini memberikan kesempatan kepada pengguna rata-rata untuk mendapatkan bayaran atas bandwidth ekstra mereka. Hal ini mencakup prospek yang menarik, dan sah, bagi banyak orang dan entitas.

Namun, situs-situs ini sering tidak menanyakan pertanyaan tentang bagaimana node proxy baru itu bersumber. Mudah saja untuk kita tebak, di situlah ketidakabsahan dimulai. Meskipun tindakan proxyjacking telah ada selama beberapa waktu sekarang, belakangan ini  baru mulai digunakan secara masif untuk mendapatkan keuntungan.

pengertian cryptojacking

Apa itu Proxyjacking

Proxyjacking adalah sebuah bentuk kejahatan siber yang utamanya menargetkan pemanfaatan secara tidak sah sumber daya jaringan (bandwith). Sehingga yang menjadi perbedaan utama antara proxyjacking dengan cryptojacking adalah penggunaan CPU. Proxyjacking menyewakan penggunaan bandwith ke pengguna lain tanpa sepengetahuan pengguna lain.

Proxyjacking merupakan fenomena baru yang disebabkan oleh pertumbuhan dan penggunaan layanan proxyware dalam beberapa tahun terakhir. Layanan proxyware adalah aplikasi atau perangkat lunak yang benar-benar sah dan tidak berbahaya yang dapat Anda pasang di perangkat yang tersambung ke internet. Saat Anda menjalankannya, Anda membagikan bandwidth internet Anda dengan orang lain yang membayar untuk menggunakan alamat IP Anda. IPRoyal, Honeygain, Peer2Profit, dan lainnya, membayar setiap alamat IP yang Anda bagikan, berdasarkan jumlah jam Anda menjalankan aplikasi.

Layanan ini telah digunakan dalam serangan adware yang sebelumnya dilaporkan oleh Cisco Talos Intelligence Group dan AhnLab Security Emergency Response Center (ASEC). Layanan proxyware memungkinkan pengguna menghasilkan uang dengan berbagi koneksi internet mereka dengan orang lain. Seperti yang dijelaskan Cisco Talos dalam posting blog mereka, penyerang “memanfaatkan platform ini untuk memonetisasi bandwidth internet korban, mirip dengan upaya penambangan cryptocurrency jahat untuk memonetisasi siklus CPU dari sistem yang terinfeksi.”

IPRoyal mendefinisikan dirinya sebagai jaringan proxy global yang mengklaim “100% IP yang bersumber secara etis”. Hal ini mungkin berarti bahwa mereka tidak akan membeli dan menjual IP yang mungkin telah dicuri atau dipalsukan melalui penggunaan mesin virtual. Kita dapat berasumsi bahwa ini juga berarti mereka memiliki semacam proses pemeriksaan untuk memastikan tidak ada yang di-proxyjacked. Jaringan proxy IPRoyal mencakup IP yang dibagikan melalui layanan proxy pawns.app. Sysdig TRT menemukan klaim etika ini sulit dipercaya berdasarkan serangan honeypot yang ditangkap, dan memutuskan untuk mengujinya dan layanan proxyware lainnya untuk melihat apakah proxyjacking benar-benar bisa menjadi sarana pendapatan bagi para penyerang.

Baca juga: Cryptojacking: Cara Kerja, Pencegahan, Cara Mendeteksi, Dampak

Potensi penghasilan dari proxyjacking

penghasilan hacker dari cryptojacking

Dalam skala luas, kampanye ini bisa memberikan penghasilan yang menguntungkan bagi penyerang. Menurut skala laba pion.app, aktivitas 24 jam untuk satu alamat IP akan menghasilkan $9,60 per bulan. Meskipun Pion akan melakukan pemeriksaan untuk memastikan bahwa pengguna tidak menjual instan cloud seperti EC2, Peer2Profit tidak memiliki batasan yang sama.

Seperti disebutkan, penyerang memperoleh akses awal melalui eksploitasi kerentanan Log4j. Jutaan sistem masih menjalankan versi Log4j yang rentan, dan menurut Censys, lebih dari 23.000 di antaranya dapat dijangkau dari internet. Log4j bukan satu-satunya vektor serangan untuk menyebarkan malware proxyjacking, tetapi kerentanan ini sendiri secara teoritis dapat memberikan keuntungan lebih dari $220.000 per bulan. Secara lebih konservatif, kompromi sederhana dari 100 IP akan menghasilkan pendapatan pasif hampir $1.000 per bulan.

Meskipun Pawns dan IPRoyal memiliki batasan mengenai jenis IP yang akan mereka beli dan bagikan, layanan proxyware lainnya, seperti Peer2Profit. Sysdig menemukan bahwa aplikasi Pawns tidak berfungsi dengan baik pada IP EC2 atau OVHCloud, karena aplikasi tersebut membatasi klien ke alamat IP yang diklasifikasikan sebagai perumahan. Sysdig yakin Pawns menggunakan layanan seperti ip2location[.]com untuk membuat klasifikasi saat agen baru mencoba mendaftar. Ini mungkin baik, tetapi lebih mungkin karena alamat IP perumahan dianggap lebih dapat dipercaya (dan diinginkan) daripada server pribadi virtual cloud.

Sysdig TRT mengonfirmasi bahwa Peer2Profit akan berjalan di IP server/pusat data, seperti AWS EC2. Ini dirinci dalam FAQ di situs web mereka, sebagai konfirmasi bahwa perangkat lunak mereka juga berfungsi pada mesin virtual. Mereka bahkan menyediakan wadah Docker untuk memungkinkan eksekusi yang mudah. Agen Peer2Profit juga telah dikompilasi untuk berjalan di sistem ARM, dan perusahaan menawarkan contoh berjalan di sistem seperti Raspberry Pi. Beberapa layanan proxyware ini juga memasarkan ketersediaan server proxy seluler dan memiliki aplikasi Android di pasaran.

Perbedaan Cryptomining dengan Proxyjacking

perbedaan cryptojacking dengan proxyjacking

Cryptojacking adalah penggunaan komputer atau perangkat yang tidak sah untuk menambang cryptocurrency. Dalam bentuknya yang paling umum, penyerang menginstal penambang berbasis CPU untuk mengekstraksi nilai maksimum dari sistem yang disusupi. Proxyjacking, seperti yang didefinisikan dalam posting ini, adalah bentuk sedikit berbeda dari cryptojacking, yang terutama bertujuan untuk memanfaatkan sumber daya jaringan, meninggalkan jejak CPU minimal.

Cryptojacking dan proxyjacking dapat membuat sang penyerang menghasilkan uang yang sama per bulannya, dan proxyjacking bahkan mungkin lebih menguntungkan dengan kurs cryptoexchange saat ini dan pembayaran proxyware. Namun, hampir setiap perangkat lunak pemantauan akan memiliki penggunaan CPU sebagai salah satu metrik pertama (dan memang paling penting). Efek proxyjacking pada sistem sangat kecil: 1 GB lalu lintas jaringan yang tersebar selama sebulan adalah puluhan megabyte per hari dan hal ini kemungkinan besar hanya akan luput dari perhatian.

Baca juga: Keamanan Kontainer: Praktik dan Tools

Pencegahan Proxyjacking

pencegahan proxyjacking

Karena layanan ilegal ini dapat digunakan oleh penjahat di kedua sisi, baik untuk menganonimkan aktivitas mereka maupun untuk menjual sumber daya orang lain, kita semua tentunya lebih menyukai apabila mereka memang benar-benar hilang untuk selamanya. Namun berikut ini adalah beberapa cara yang bisa Anda lakukan untuk mencegah serangan Proxyjacking.

Pengguna rumahan dapat melindungi diri dari proxyjacking dengan

  • Menjaga sistem dan perangkat lunak mereka diperbarui.
  • Gunakan strategi kata sandi yang efektif dan aman.

Pengguna korporat dapat melakukan

  • Pantau lalu lintas jaringan untuk anomali
  • Melacak menjalankan aplikasi dalam container.
  • Menggunakan autentikasi berbasis kunci untuk SSH alih-alih kata sandi.

Kesimpulan

Proxyjacking adalah serangan dengan upaya rendah dan imbalan tinggi bagi pelaku serangan siber. Daftar layanan proxyware yang dilaporkan digunakan untuk proxyjacking masih kecil saat ini. Tapi pada waktunya, penyerang akan menemukan jalan dan pembela akan menemukan lebih banyak aktivitas jahat. Sysdig TRT merekomendasikan pengaturan batas penagihan dan peringatan dengan CSP (communications service providers) Anda. Hal ini bertujuan untuk menghindari menerima tagihan penggunaan yang mengejutkan. Anda juga harus memiliki aturan deteksi ancaman untuk menerima peringatan pada setiap akses awal dan aktivitas muatan sebelum penginstalan aplikasi layanan proxyware di jaringan Anda.

Cegah Dengan Heimdal security

Heimdal Endpoint Detection and Response menawarkan teknologi keamanan siber yang canggih untuk melawan proxyjacking.

Teknologi ini dirancang untuk melindungi ujung perangkat, terus memonitor mereka untuk anomali, dan memberikan respons untuk mengurangi secara signifikan kemungkinan ancaman keamanan siber yang bisa membuat kerugian yang tidak sedikit pada oraganisasi atau perusahaan Anda.

Beberapa modul yang paling penting dari layanan EDR Heimdal meliputi: Threat Prevention, Patch Management, Next Gen Antivirus Software, Anti Ransomware, Privilege Access Management, dan Application Control.

Dapatkan Demo Heimdal Security Secara Gratis, Untuk Mengetahui Selengkapnya!

Baca juga: Tips Melakukan Audit Aset Digital dengan Benar

Kania Sutisnawinata