Cryptojacking telah menjadi cukup terkenal di seluruh dunia. Sumber daya korban dicuri untuk berkontribusi ke kumpulan penambangan dengan imbalan uang yang diberikan kepada penyerang. Teknik serangan siber yang kurang dikenal yang baru-baru ini sedang naik daun disebut proxyjacking.
Dengan proxyjacking, penyerang tidak hanya mencuri sumber daya tetapi juga memanfaatkan bandwidth korban yang tidak terpakai. Sistem korban secara diam-diam digunakan untuk menjalankan berbagai layanan sebagai node proxy P2P yang baru-baru ini mulai dimonetisasi oleh penyerang melalui organisasi seperti Peer2Profit atau Honeygain. Perusahaan-perusahaan ini memberikan kesempatan kepada pengguna rata-rata untuk mendapatkan bayaran atas bandwidth ekstra mereka. Hal ini mencakup prospek yang menarik, dan sah, bagi banyak orang dan entitas.
Namun, situs-situs ini sering tidak menanyakan pertanyaan tentang bagaimana node proxy baru itu bersumber. Mudah saja untuk kita tebak, di situlah ketidakabsahan dimulai. Meskipun tindakan proxyjacking telah ada selama beberapa waktu sekarang, belakangan ini baru mulai digunakan secara masif untuk mendapatkan keuntungan.
Apa itu Proxyjacking
Proxyjacking adalah sebuah bentuk kejahatan siber yang utamanya menargetkan pemanfaatan secara tidak sah sumber daya jaringan (bandwith). Sehingga yang menjadi perbedaan utama antara proxyjacking dengan cryptojacking adalah penggunaan CPU. Proxyjacking menyewakan penggunaan bandwith ke pengguna lain tanpa sepengetahuan pengguna lain.
Proxyjacking merupakan fenomena baru yang disebabkan oleh pertumbuhan dan penggunaan layanan proxyware dalam beberapa tahun terakhir. Layanan proxyware adalah aplikasi atau perangkat lunak yang benar-benar sah dan tidak berbahaya yang dapat Anda pasang di perangkat yang tersambung ke internet. Saat Anda menjalankannya, Anda membagikan bandwidth internet Anda dengan orang lain yang membayar untuk menggunakan alamat IP Anda. IPRoyal, Honeygain, Peer2Profit, dan lainnya, membayar setiap alamat IP yang Anda bagikan, berdasarkan jumlah jam Anda menjalankan aplikasi.
Layanan ini telah digunakan dalam serangan adware yang sebelumnya dilaporkan oleh Cisco Talos Intelligence Group dan AhnLab Security Emergency Response Center (ASEC). Layanan proxyware memungkinkan pengguna menghasilkan uang dengan berbagi koneksi internet mereka dengan orang lain. Seperti yang dijelaskan Cisco Talos dalam posting blog mereka, penyerang “memanfaatkan platform ini untuk memonetisasi bandwidth internet korban, mirip dengan upaya penambangan cryptocurrency jahat untuk memonetisasi siklus CPU dari sistem yang terinfeksi.”
IPRoyal mendefinisikan dirinya sebagai jaringan proxy global yang mengklaim “100% IP yang bersumber secara etis”. Hal ini mungkin berarti bahwa mereka tidak akan membeli dan menjual IP yang mungkin telah dicuri atau dipalsukan melalui penggunaan mesin virtual. Kita dapat berasumsi bahwa ini juga berarti mereka memiliki semacam proses pemeriksaan untuk memastikan tidak ada yang di-proxyjacked. Jaringan proxy IPRoyal mencakup IP yang dibagikan melalui layanan proxy pawns.app. Sysdig TRT menemukan klaim etika ini sulit dipercaya berdasarkan serangan honeypot yang ditangkap, dan memutuskan untuk mengujinya dan layanan proxyware lainnya untuk melihat apakah proxyjacking benar-benar bisa menjadi sarana pendapatan bagi para penyerang.
Baca juga: Cryptojacking: Cara Kerja, Pencegahan, Cara Mendeteksi, Dampak
Potensi Penghasilan Hacker dari Proxyjacking
Dalam skala luas, kampanye ini bisa memberikan penghasilan yang menguntungkan bagi penyerang. Menurut skala laba pion.app, aktivitas 24 jam untuk satu alamat IP akan menghasilkan $9,60 per bulan. Meskipun Pion akan melakukan pemeriksaan untuk memastikan bahwa pengguna tidak menjual instan cloud seperti EC2, Peer2Profit tidak memiliki batasan yang sama.
Seperti disebutkan, penyerang memperoleh akses awal melalui eksploitasi kerentanan Log4j. Jutaan sistem masih menjalankan versi Log4j yang rentan, dan menurut Censys, lebih dari 23.000 di antaranya dapat dijangkau dari internet. Log4j bukan satu-satunya vektor serangan untuk menyebarkan malware proxyjacking, tetapi kerentanan ini sendiri secara teoritis dapat memberikan keuntungan lebih dari $220.000 per bulan. Secara lebih konservatif, kompromi sederhana dari 100 IP akan menghasilkan pendapatan pasif hampir $1.000 per bulan.
Meskipun Pawns dan IPRoyal memiliki batasan mengenai jenis IP yang akan mereka beli dan bagikan, layanan proxyware lainnya, seperti Peer2Profit. Sysdig menemukan bahwa aplikasi Pawns tidak berfungsi dengan baik pada IP EC2 atau OVHCloud, karena aplikasi tersebut membatasi klien ke alamat IP yang diklasifikasikan sebagai perumahan. Sysdig yakin Pawns menggunakan layanan seperti ip2location[.]com untuk membuat klasifikasi saat agen baru mencoba mendaftar. Ini mungkin baik, tetapi lebih mungkin karena alamat IP perumahan dianggap lebih dapat dipercaya (dan diinginkan) daripada server pribadi virtual cloud.
Sysdig TRT mengonfirmasi bahwa Peer2Profit akan berjalan di IP server/pusat data, seperti AWS EC2. Ini dirinci dalam FAQ di situs web mereka, sebagai konfirmasi bahwa perangkat lunak mereka juga berfungsi pada mesin virtual. Mereka bahkan menyediakan wadah Docker untuk memungkinkan eksekusi yang mudah. Agen Peer2Profit juga telah dikompilasi untuk berjalan di sistem ARM, dan perusahaan menawarkan contoh berjalan di sistem seperti Raspberry Pi. Beberapa layanan proxyware ini juga memasarkan ketersediaan server proxy seluler dan memiliki aplikasi Android di pasaran.
Perbedaan Cryptojacking dengan Proxyjacking
Cryptojacking adalah penggunaan komputer atau perangkat yang tidak sah untuk menambang cryptocurrency. Dalam bentuknya yang paling umum, penyerang menginstal penambang berbasis CPU untuk mengekstraksi nilai maksimum dari sistem yang disusupi. Proxyjacking, seperti yang didefinisikan dalam posting ini, adalah bentuk sedikit berbeda dari cryptojacking, yang terutama bertujuan untuk memanfaatkan sumber daya jaringan, meninggalkan jejak CPU minimal.
Cryptojacking dan proxyjacking dapat membuat sang penyerang menghasilkan uang yang hampir sama per bulannya, dan proxyjacking bahkan mungkin lebih menguntungkan dengan kurs cryptoexchange saat ini dan pembayaran proxyware. Namun, hampir setiap perangkat lunak pemantauan akan memiliki penggunaan CPU sebagai salah satu metrik pertama (dan memang paling penting). Efek proxyjacking pada sistem sangat kecil: 1 GB lalu lintas jaringan yang tersebar selama sebulan adalah puluhan megabyte per hari dan hal ini kemungkinan besar hanya akan luput dari perhatian.
Baca juga: Keamanan Kontainer: Praktik dan Tools
Cara Mendeteksi Proxyjacking
Periksa Pengaturan Proxy
Proxyjacking seringkali melibatkan perubahan pengaturan proxy pada perangkat korban. Anda dapat memeriksa pengaturan proxy pada perangkat Anda, terutama pada browser web yang Anda gunakan. Jika Anda melihat bahwa pengaturan proxy tiba-tiba berubah tanpa persetujuan atau tanpa adanya perubahan yang disadari, ini bisa menjadi indikasi adanya serangan proxyjacking.
Perhatikan Perubahan yang Tidak Biasa
Serangan proxyjacking seringkali mengakibatkan perubahan perilaku internet yang tidak biasa. Misalnya, Anda mungkin mengalami pengalihan ke situs web yang tidak dikenal atau tidak diharapkan, atau mungkin ada perubahan dalam kinerja browser atau aplikasi internet Anda. Jika Anda mencurigai adanya aktivitas seperti itu, ini bisa menjadi tanda adanya serangan proxyjacking.
Periksa Aktivitas Jaringan
Menggunakan perangkat lunak keamanan jaringan atau alat pemantauan jaringan, Anda dapat memeriksa aktivitas jaringan yang mencurigakan. Misalnya, Anda dapat memeriksa apakah ada penggunaan server proxy yang tidak biasa atau koneksi keluar yang tidak diharapkan. Jika Anda melihat aktivitas yang mencurigakan seperti itu, ini bisa menjadi indikasi adanya serangan proxyjacking.
Periksa Log Aktivitas
Periksa log aktivitas pada perangkat Anda untuk mencari tanda-tanda akses yang tidak sah atau perubahan pengaturan proxy yang tidak disadari. Log aktivitas dapat memberikan wawasan yang berharga tentang aktivitas jaringan yang mencurigakan atau perubahan konfigurasi yang mungkin terjadi sebagai bagian dari serangan proxyjacking.
Gunakan Alat Deteksi Keamanan
Gunakan perangkat lunak keamanan yang dapat mendeteksi serangan proxyjacking. Beberapa perangkat lunak anti-malware dapat memeriksa konfigurasi proxy dan memantau aktivitas jaringan untuk mendeteksi tanda-tanda serangan proxyjacking. Pastikan perangkat lunak keamanan Anda selalu diperbarui agar dapat mengenali serangan yang baru dan berkembang.
Perhatikan Kinerja Perangkat
Jika Anda melihat penurunan kinerja yang tiba-tiba pada perangkat Anda, ini bisa menjadi indikasi adanya serangan proxyjacking. Penurunan kinerja mungkin disebabkan oleh pengalihan lalu lintas internet melalui server proxy yang dikendalikan oleh penyerang, yang dapat memperlambat koneksi internet Anda dan mengurangi kinerja perangkat Anda secara keseluruhan.
Cara Mencegah Proxyjacking
Mencegah proxyjacking adalah langkah penting untuk melindungi perangkat dan data Anda dari serangan cyber yang berpotensi merugikan. Berikut adalah beberapa langkah yang dapat Anda ambil untuk mencegah proxyjacking:
Perbarui Perangkat Lunak secara Teratur
Pastikan perangkat lunak sistem operasi, browser web, dan aplikasi lainnya selalu diperbarui dengan versi terbaru. Pembaruan ini sering mengandung perbaikan keamanan yang dapat melindungi perangkat Anda dari serangan proxyjacking dan ancaman lainnya.
Pantau Pengaturan Proxy
Rutin periksa pengaturan proxy pada perangkat Anda, terutama pada browser web. Pastikan hanya menggunakan proxy yang sah dan disetujui, dan pastikan pengaturan proxy tidak berubah tanpa sepengetahuan atau persetujuan Anda.
Hati-hati dengan Lampiran dan Tautan dalam Email
Hindari mengklik tautan atau membuka lampiran dari email yang tidak Anda kenal atau yang mencurigakan. Proxyjacking sering kali dimulai melalui email phishing, di mana penyerang mencoba menggiring korban untuk mengungkapkan informasi pribadi atau mengklik tautan yang mengarah ke situs web jahat.
Gunakan Aplikasi Keamanan
Instal dan aktifkan perangkat lunak keamanan yang kuat, termasuk antivirus, firewall, dan perangkat lunak anti-malware. Pastikan perangkat lunak tersebut selalu diperbarui dan diatur untuk melakukan pemindaian secara teratur.
Gunakan VPN yang Terpercaya
Jika Anda menggunakan VPN (Virtual Private Network) untuk koneksi internet, pastikan menggunakan layanan VPN yang terpercaya dan dapat dipercaya. Hindari penggunaan VPN gratis yang mungkin memiliki kebijakan privasi yang meragukan atau rentan terhadap serangan proxyjacking.
Periksa Aktivitas Jaringan Secara Rutin
Gunakan perangkat lunak pemantauan jaringan untuk memeriksa aktivitas jaringan yang mencurigakan atau tidak biasa. Hal ini dapat membantu Anda mendeteksi serangan proxyjacking secara lebih cepat dan mengambil langkah-langkah yang sesuai untuk mengatasinya.
Gunakan Sandi yang Kuat
Gunakan sandi yang kuat dan unik untuk akun Anda, terutama untuk akun yang memberikan akses ke pengaturan proxy atau keamanan jaringan. Sandi yang kuat akan membuat lebih sulit bagi penyerang untuk meretas atau menebak sandi Anda.
Edukasi Kesadaran Keamanan
Tingkatkan kesadaran keamanan bagi diri Anda sendiri dan pengguna lain di sekitar Anda. Berikan pelatihan tentang praktik keamanan cyber yang aman, termasuk cara mengidentifikasi email phishing dan tindakan yang harus diambil jika Anda mencurigai adanya serangan proxyjacking.
Kesimpulan
Proxyjacking adalah serangan dengan upaya rendah dan imbalan tinggi bagi pelaku serangan siber. Daftar layanan proxyware yang dilaporkan digunakan untuk proxyjacking masih kecil saat ini. Tapi pada waktunya, penyerang akan menemukan jalan dan pembela akan menemukan lebih banyak aktivitas jahat. Sysdig TRT merekomendasikan pengaturan batas penagihan dan peringatan dengan CSP (communications service providers) Anda. Hal ini bertujuan untuk menghindari menerima tagihan penggunaan yang mengejutkan. Anda juga harus memiliki aturan deteksi ancaman untuk menerima peringatan pada setiap akses awal dan aktivitas muatan sebelum penginstalan aplikasi layanan proxyware di jaringan Anda.
Proteksi Cyber Terandal dengan Heimdal Security
Perlindungan Aktif Terhadap Ancaman Terbaru
Heimdal Security membawa perlindungan cyber ke tingkat berikutnya dengan deteksi yang cerdas dan respons yang cepat terhadap ancaman terbaru. Dengan pembaruan real-time, Anda dapat yakin bahwa sistem Anda dilindungi dari serangan yang sedang berkembang, memberikan keamanan yang mutlak dalam dunia digital yang berubah dengan cepat.
Perlindungan Pribadi yang Tanpa Kompromi
Ketika datang ke keamanan pribadi, tidak ada ruang untuk kompromi. Heimdal Security memberikan perlindungan tanpa kompromi terhadap identitas dan informasi pribadi Anda. Dengan enkripsi yang kuat dan pengawasan ketat terhadap aktivitas online Anda, Anda dapat menjelajahi internet dengan keyakinan penuh bahwa privasi Anda tetap terjaga.
Solusi Terpadu untuk Lingkungan Digital Anda
Heimdal Security tidak hanya melindungi satu perangkat, tetapi juga seluruh lingkungan digital Anda. Dengan integrasi yang mulus dengan berbagai platform dan perangkat, Anda dapat memastikan bahwa setiap aspek dari kehidupan digital Anda dilindungi dengan baik, dari laptop dan ponsel hingga perangkat pintar di rumah Anda.
Baca juga: Tips Melakukan Audit Aset Digital dengan Benar