Peneliti Unit 42 mengungkap salah satu operasi cryptojacking Monero terbesar dan terlama yang pernah ada. Operasi itu disebut WatchDog, diambil dari nama daemon Linux bernama watchdogd. Operasi penambangan WatchDog Cryptojacking telah berjalan sejak 27 Januari 2019. Mereka telah mengumpulkan setidaknya 209 Monero (XMR), senilai sekitar $32.056 USD. Para peneliti telah menemukan bahwa setidaknya 476 sistem yang disusupi. Tidak luput dari instans cloud Windows dan NIX, malware ini telah melakukan operasi penambangan pada satu waktu selama lebih dari dua tahun.
Cryptojacking adalah proses melakukan operasi penambangan kripto pada sistem yang tidak dimiliki dan dikelola oleh operator penambangan. Operasi cryptojacking jahat saat ini diperkirakan memengaruhi 23% lingkungan cloud. Data ini naik dari 8% pada tahun 2018. Peningkatan ini terutama disebabkan oleh kenaikan tajam dalam penilaian cryptocurrency. Pasar global untuk blockchain, teknologi di balik mata uang kripto, diperkirakan akan mencapai $60,7 miliar pada tahun 2024. Organisasi kriminal sedang mencoba memanfaatkannya.
Kami akan menjelaskan apa itu WatchDog Cryptojacking, bagaimana serangan ini beroperasi. Langkah-langkah yang dapat diambil untuk melacak dan membasmi ancaman ini. Dengan pemahaman yang mendalam tentang WatchDog Cryptojacking, kita dapat melindungi perangkat dan data kita dari serangan yang merugikan.
Apa itu WatchDog Cryptojacking
WatchDog Cryptojacking adalah jenis serangan cryptojacking yang menyusup ke perangkat dan menggunakan sumber daya mereka untuk menambang mata uang kripto secara ilegal. Serangan ini bertujuan untuk menghasilkan keuntungan finansial bagi penyerang tanpa sepengetahuan pengguna. WatchDog Cryptojacking sering kali tersembunyi di dalam perangkat lunak atau aplikasi yang diunduh dari sumber yang tidak terpercaya.
Baca juga: Deteksi dan Respon Ancaman Keamanan
Cara Kerja WatchDog Cryptojacking
WatchDog Cryptojacking beroperasi dengan cara yang canggih dan rahasia. Serangan dimulai ketika perangkat pengguna terinfeksi dengan malware WatchDog Cryptojacking. Malware ini dapat masuk melalui berbagai metode, termasuk tautan berbahaya, lampiran email yang mencurigakan, atau eksploitasi kerentanan perangkat.
Cryptominers WatchDog terdiri dari kumpulan biner Go Language tiga bagian dan file skrip bash atau PowerShell. Binari melakukan fungsionalitas tertentu, salah satunya meniru fungsionalitas daemon pengawas Linux dengan memastikan bahwa proses penambangan tidak macet, membebani, atau berhenti secara tidak terduga.
Biner Go kedua mengunduh daftar rentang bersih alamat IP yang dapat dikonfigurasi sebelum menyediakan fungsionalitas operasi eksploitasi bertarget dari sistem NIX atau Windows yang teridentifikasi yang ditemukan selama operasi pemindaian. Terakhir, skrip biner Go ketiga akan memulai operasi penambangan pada sistem operasi (OS) Windows atau NIX menggunakan konfigurasi khusus dari skrip bash atau PowerShell yang dimulai.
Penggunaan binari Go WatchDog memungkinkannya untuk melakukan operasi yang dinyatakan di berbagai sistem operasi menggunakan binari yang sama, yaitu Windows dan NIX, selama platform Go Language diinstal pada sistem target.
Para peneliti telah memetakan infrastruktur di balik operasi penambangan. Mereka telah mengidentifikasi 18 root IP endpoint dan tujuh domain berbahaya, yang melayani setidaknya 125 alamat URL berbahaya yang digunakan untuk mengunduh perangkatnya.
Setelah malware menginfeksi, WatchDog Cryptojacking berjalan di latar belakang perangkat tanpa diketahui pengguna. Ini menggunakan sumber daya perangkat, seperti CPU dan daya komputasi, untuk menambang mata uang kripto. Akibatnya, pengguna mengalami penurunan kinerja perangkat, peningkatan konsumsi daya, dan kemungkinan kerusakan perangkat keras.
Berikut adalah cara kerja umum dari BadShell cryptojacking yang kami ringkas untuk Anda:
Eksploitasi Kerentanan di Microsoft Exchange Server
Penyerang menggunakan kerentanan yang ditemukan di server Microsoft Exchange untuk mendapatkan akses tidak sah. Kerentanan tersebut memungkinkan penyerang untuk menjalankan kode arbitrer di server Exchange tanpa otorisasi.
Instalasi Perangkat Lunak Jahat
Setelah mendapatkan akses ke server Exchange yang rentan, penyerang menginstal perangkat lunak jahat yang dikenal sebagai crypto miner atau penambang kriptokurensi. Perangkat lunak ini dirancang untuk bekerja secara diam-diam di latar belakang tanpa sepengetahuan pengguna atau administrator sistem.
Penambangan Cryptocurrency
Perangkat lunak jahat yang terinstal mulai menggunakan daya komputasi server Exchange untuk menambang cryptocurrency seperti Bitcoin, Ethereum, atau Monero. Proses penambangan ini membutuhkan daya komputasi yang signifikan, dan dengan memanfaatkan server Exchange yang biasanya memiliki spesifikasi hardware yang kuat, penyerang dapat meningkatkan keuntungan mereka.
Penghindaran Deteksi
Penyerang sering menggunakan teknik penghindaran deteksi untuk menyembunyikan aktivitas cryptojacking mereka. Mereka dapat menggunakan enkripsi, mengubah nama file atau proses, atau memanfaatkan metode lain untuk mengaburkan jejak mereka dan menghindari deteksi oleh perangkat lunak keamanan.
Penyebaran Lebih Lanjut
Setelah berhasil menginfeksi server Exchange dengan BadShell cryptojacking, penyerang dapat menggunakan akses tersebut untuk menyebar ke server lain dalam jaringan yang sama. Mereka dapat memanfaatkan kerentanan lain atau metode serangan lainnya untuk memperluas dampak serangan mereka.
Ekstraksi Keuntungan
Cryptocurrency yang ditambang ilegal akan dikirimkan ke dompet digital yang dikendalikan oleh penyerang. Mereka kemudian dapat menukar cryptocurrency tersebut dengan mata uang fiat atau menyimpannya sebagai aset digital.
Dampak dan Bahaya WatchDog Cryptojacking
WatchDog Cryptojacking adalah salah satu bentuk serangan cryptojacking yang merugikan dan mengancam keamanan sistem. Dalam artikel ini, kita akan membahas secara mendalam tentang dampak dan bahaya WatchDog Cryptojacking, serta menggali bagaimana serangan ini dapat merusak keamanan dan privasi data kita.
Penurunan Kinerja Sistem
Salah satu dampak utama dari WatchDog Cryptojacking adalah penurunan kinerja sistem yang terinfeksi. Serangan ini menggunakan sumber daya komputasi yang ada untuk menambang mata uang kripto secara ilegal. Akibatnya, CPU dan GPU sistem bekerja keras dalam melakukan tugas penambangan, mengakibatkan penurunan kecepatan sistem secara keseluruhan. Pengguna mungkin mengalami keterlambatan dalam menjalankan aplikasi, respons yang lambat, atau bahkan kegagalan sistem. Penurunan kinerja ini tidak hanya mengganggu pengalaman pengguna, tetapi juga dapat menghambat produktivitas dan efisiensi operasional.
Konsumsi Daya yang Tinggi
WatchDog Cryptojacking juga memiliki dampak pada konsumsi daya sistem. Serangan ini menggunakan sumber daya komputasi yang signifikan untuk menambang mata uang kripto, yang dapat mengakibatkan kenaikan konsumsi daya yang tidak proporsional. Sistem yang terinfeksi mungkin mengalami lonjakan penggunaan daya yang tidak wajar, yang pada gilirannya meningkatkan biaya operasional dan dapat menyebabkan peningkatan suhu yang berlebihan. Konsumsi daya yang tinggi juga dapat mengurangi masa pakai baterai pada perangkat mobile, mengganggu mobilitas dan penggunaan yang efisien.
Kerentanan Keamanan
WatchDog Cryptojacking dapat membuka celah keamanan pada sistem yang terinfeksi. Serangan ini memanfaatkan kerentanan dalam sistem untuk memasuki dan menginstal malware yang bertugas menambang mata uang kripto. Melalui serangan ini, penyerang dapat mendapatkan akses yang tidak sah ke sistem, membahayakan keamanan data dan privasi pengguna. Selain itu, serangan cryptojacking juga dapat menjadi pintu masuk bagi serangan siber lainnya, seperti pencurian data atau penyebaran ransomware. Dengan sistem yang terinfeksi WatchDog Cryptojacking, organisasi dan individu berisiko kehilangan data penting, informasi keuangan, atau bahkan menghadapi pelanggaran privasi yang serius.
Kerugian Finansial
WatchDog Cryptojacking juga dapat menyebabkan kerugian finansial yang signifikan. Serangan ini menggunakan sumber daya komputasi yang tidak sah untuk menambang mata uang kripto, dan hasil penambangan tersebut menguntungkan penyerang. Pengguna atau pemilik sistem yang terinfeksi harus menghadapi biaya operasional tambahan yang mencakup konsumsi daya yang meningkat, pemeliharaan sistem, dan pemulihan dari kerusakan yang disebabkan oleh serangan. Selain itu, jika serangan tersebut tidak segera terdeteksi dan diatasi, biaya yang lebih besar dapat timbul dalam jangka panjang, termasuk kerugian keuangan akibat penurunan produktivitas atau kerugian bisnis yang terkait dengan pelanggaran keamanan data.
Baca juga: Hati-hati Terhadap Scam Email: Ancaman CyberCrime
Cara Mendeteksi BadShell Cryptojacking
Mendeteksi serangan BadShell cryptojacking bisa menjadi tantangan, tetapi ada beberapa tanda yang dapat membantu Anda mengidentifikasinya. Berikut adalah beberapa cara untuk mendeteksi adanya serangan BadShell cryptojacking:
Peningkatan Penggunaan Sumber Daya
Perhatikan peningkatan yang tidak biasa dalam penggunaan sumber daya server, seperti CPU, RAM, dan bandwidth. Serangan cryptojacking biasanya akan menyebabkan lonjakan dalam penggunaan sumber daya komputasi, yang dapat terlihat dalam alat pemantauan kinerja atau log sistem.
Peningkatan Konsumsi Daya
Jika Anda memantau konsumsi daya server secara langsung, perhatikan apakah ada peningkatan yang tidak wajar dalam penggunaan daya. Cryptojacking dapat menyebabkan peningkatan yang signifikan dalam konsumsi daya karena aktivitas penambangan kriptokurensi yang berjalan di latar belakang.
Peningkatan Suhu Server
Perhatikan apakah ada peningkatan suhu pada server. Cryptojacking dapat menyebabkan peningkatan suhu karena beban kerja yang tinggi, terutama jika server tersebut beroperasi pada kapasitas maksimum atau tidak memiliki pendinginan yang memadai.
Pemantauan Lalu lintas Jaringan
Perhatikan lalu lintas jaringan yang mencurigakan atau tidak biasa pada server Exchange Anda. Serangan cryptojacking mungkin akan menghasilkan lalu lintas jaringan tambahan yang terkait dengan komunikasi antara server terinfeksi dan pool penambangan kriptokurensi.
Pemantauan Proses dan Aplikasi
Periksa daftar proses dan aplikasi yang berjalan pada server Exchange untuk mencari tanda-tanda perangkat lunak jahat atau proses yang mencurigakan. Perhatikan apakah ada proses yang tidak dikenal atau tidak biasa yang berjalan di latar belakang.
Pemindaian Keamanan
Lakukan pemindaian keamanan rutin menggunakan perangkat lunak keamanan yang andal. Beberapa solusi keamanan mungkin dapat mendeteksi perangkat lunak jahat atau tanda-tanda aktivitas cryptojacking pada server Exchange Anda.
Pemantauan Log Keamanan
Perhatikan log keamanan server untuk mencari tanda-tanda aktivitas yang mencurigakan, seperti upaya login yang gagal, aktivitas yang tidak biasa pada file sistem, atau penambahan atau perubahan konfigurasi yang tidak sah.
Cara Mencegah WatchDog Cryptojacking
Mencegah BadShell cryptojacking memerlukan tindakan proaktif dan berbagai langkah keamanan yang tepat. Berikut adalah beberapa langkah yang dapat diambil untuk mencegah serangan BadShell cryptojacking:
Pembaruan Perangkat Lunak
Pastikan bahwa server Microsoft Exchange dan semua komponen perangkat lunak terkaitnya selalu diperbarui dengan yang terbaru. Pembaruan rutin ini seringkali mengatasi kerentanan keamanan yang dapat dieksploitasi oleh serangan cryptojacking.
Penerapan Patches Keamanan
Segera terapkan patch keamanan yang dirilis oleh Microsoft untuk memperbaiki kerentanan yang diketahui, terutama yang terkait dengan eksploitasi BadShell. Memantau informasi dan pemberitahuan tentang patch keamanan adalah kunci untuk melindungi server Exchange dari serangan.
Penggunaan Firewall dan Filter Jaringan
Konfigurasikan firewall dan filter jaringan untuk membatasi akses yang tidak perlu ke server Exchange. Blokir lalu lintas jaringan yang mencurigakan atau tidak sah, serta lalu lintas yang menggunakan port yang terkait dengan serangan BadShell.
Mengaktifkan Penjagaan Intrusi
Aktifkan dan konfigurasikan sistem penjagaan intrusi (IDS) atau sistem pencegahan intrusi (IPS) untuk mendeteksi dan mencegah serangan yang mencurigakan pada server Exchange. IDS/IPS dapat membantu mendeteksi aktivitas yang tidak biasa atau tanda-tanda eksploitasi kerentanan.
Pemantauan Aktivitas dan Log
Lakukan pemantauan aktif terhadap aktivitas server Exchange dan periksa log keamanan secara teratur untuk mendeteksi aktivitas mencurigakan atau anormal. Identifikasi perubahan yang tidak diinginkan atau tidak diizinkan pada sistem dan tindak lanjuti secara tepat waktu.
Penggunaan Anti-Malware
Instal dan aktifkan perangkat lunak anti-malware yang andal dan up-to-date pada server Exchange. Anti-malware dapat membantu mendeteksi dan menghapus perangkat lunak jahat yang terkait dengan cryptojacking.
Pelatihan Kesadaran Keamanan
Tingkatkan kesadaran keamanan di antara staf IT dan pengguna akhir dengan memberikan pelatihan dan edukasi tentang risiko keamanan, termasuk serangan cryptojacking dan tanda-tanda serangan tersebut. Ajarkan mereka langkah-langkah yang dapat diambil untuk melindungi server Exchange dan data perusahaan.
Menerapkan Praktik Keamanan Terbaik
Terapkan praktik keamanan terbaik untuk server Exchange, seperti menerapkan kebijakan kata sandi yang kuat, membatasi akses pengguna sesuai kebutuhan, dan memonitor aktivitas administrator dengan cermat.
Auditing dan Penilaian Keamanan
Lakukan audit keamanan secara berkala dan penilaian keamanan pada server Exchange untuk mengidentifikasi kerentanan yang mungkin ada dan mengambil langkah-langkah perbaikan yang diperlukan.
Baca juga: Data Loss Prevention: Amankan Data Anda
Kesimpulan
WatchDog Cryptojacking adalah serangan cryptojacking yang berbahaya yang menggunakan sumber daya perangkat untuk menambang mata uang kripto tanpa izin.
Jelas bahwa developer WatchDog adalah pembuat kode yang terampil dan menikmati kurangnya perhatian terkait operasi penambangan mereka. Meskipun saat ini tidak ada indikasi aktivitas penyusupan cloud tambahan saat ini (yaitu penangkapan kredensial IAM platform cloud, ID akses, atau kunci), mungkin ada potensi penyusupan akun cloud lebih lanjut.
Kemungkinan besar para pelaku ini dapat menemukan informasi terkait IAM pada sistem cloud yang telah mereka kompromikan, karena akses root dan administratif yang diperoleh selama implantasi perangkat lunak cryptojacking mereka.
Namun, dengan langkah-langkah yang tepat, kita dapat melacak dan membasmi serangan ini. Dengan memantau aktivitas perangkat, menggunakan perangkat lunak keamanan yang handal, memperbarui perangkat dan sistem operasi, menghindari sumber yang tidak dipercaya, dan menghapus malware dengan perangkat lunak antimalware, kita dapat melindungi perangkat dan data kita dari serangan malware yang merugikan.
Penting untuk tetap waspada dan mengambil langkah-langkah yang diperlukan untuk menjaga keamanan dan privasi kita di dunia digital yang kompleks ini.
Program Pencegah Cryptojacking
Heimdal Antivirus Software adalah program keamanan yang dapat melindungi sistem Anda dari serangan cryptojacking. Dengan fitur deteksi canggih, program ini dapat mengenali dan menghapus cryptojacking yang ada pada sistem Anda.
Heimdal Antivirus Software juga menyediakan proteksi real-time yang aktif secara terus-menerus dan filter lalu lintas internet untuk mencegah cryptojacking masuk ke sistem Anda.
Program ini juga secara otomatis memperbarui dirinya dengan definisi keamanan terbaru dan menyediakan perlindungan antivirus dan antimalware lengkap. Dengan menggunakan Heimdal Antivirus Software, Anda dapat menjaga privasi dan keamanan data Anda dari serangan cryptojacking. Dapatkan Demo Heimdal Security Secara Gratis, Untuk Mengetahui Selengkapnya!
Baca juga: Penghentian Aktiva Tetap Disebabkan Oleh?
- Perbedaan Harga Perolehan dan Nilai Wajar - 14/04/2025
- CAPTCHA Palsu, Modus Baru Penyebaran Malware - 08/04/2025
- Harga Perolehan: Pengertian dan Cara Menghitung - 25/03/2025