Paruh pertama tahun 2025 menjadi saksi pergeseran signifikan dalam taktik serangan siber bermotif finansial. Para pelaku ancaman (threat actors) kini dilaporkan meninggalkan metode tradisional yang sarat malware demi strategi yang jauh lebih hemat biaya dan sulit dideteksi: memanfaatkan kredensial curian.

Alih-alih menyebarkan payload malware yang canggih, peretas kini menggunakan kredensial dan akses akun yang valid untuk menanamkan diri dalam jaringan target di berbagai industri.

Tim Incident Response FortiGuard mencatat adanya pola konsisten: penyerang mendapatkan akses awal melalui kredensial yang dibobol, baik itu hasil dari kampanye phishing, dibeli dari Initial Access Brokers (IABs), atau didapatkan melalui penggunaan ulang kata sandi dan malware infostealer.

Baca Juga: Raksasa Iklan Dentsu Konfirmasi Serangan Siber: Anak Perusahaan AS Merkle Kebobolan Data

Analis Fortinet mengidentifikasi tiga teknik utama yang dieksploitasi peretas untuk menembus jaringan:

1. Layanan Remote Eksternal (VPN): Infrastruktur VPN menjadi titik masuk paling umum. Peretas melakukan autentikasi menggunakan kredensial curian, memungkinkan mereka bergerak secara lateral di lingkungan korban.
2. Eksploitasi Aplikasi Publik: Pelaku memanfaatkan kerentanan n-day pada aplikasi yang menghadap publik untuk menyebarkan alat manajemen remote yang sah (legitimate) seperti AnyDesk, Atera, Splashtop, dan ScreenConnect.
3. Kredensial Curian: Kredensial curian dibeli dari pasar gelap. Harganya bervariasi antara $100 hingga $20.000, tergantung ukuran organisasi dan lokasi geografis, menjadikannya pendekatan yang sangat menarik secara ekonomi bagi pelaku kejahatan.

Begitu berada di dalam jaringan, peretas menggunakan pergerakan lateral yang dilakukan secara manual (operator-driven), memanfaatkan alat bawaan Windows seperti Remote Desktop Protocol (RDP), Server Message Block (SMB), dan Windows Remote Management (WinRM).

Pendekatan manual ini membuat pergerakan penyerang menyatu dengan aktivitas administrator yang sah, sehingga secara signifikan mempersulit upaya deteksi.

Untuk mempertahankan persistensi, pelaku memasang instalasi alat akses remote mereka sendiri dan memanfaatkan kredensial istimewa yang didapatkan melalui eksekusi Mimikatz dan eksploitasi Zerologon.

Eksfiltrasi data (pencurian data keluar) dilakukan melalui transfer berkas langsung menggunakan kemampuan drag-and-drop pada antarmuka RDP dan RMM. Metode ini meninggalkan artefak forensik yang minimal dibandingkan dengan metode eksfiltrasi berbasis web konvensional.

Dalam kasus yang teramati, penyerang mengonfigurasi infrastruktur VPN yang tidak dilengkapi Multi-Factor Authentication (MFA). Hal ini memberikan akses jaringan tanpa batas dan memungkinkan enkripsi infrastruktur hypervisor dengan cepat untuk tujuan ransomware.

Metodologi dengan kompleksitas rendah namun hasil tinggi ini memungkinkan penjahat siber bermotif finansial beroperasi tanpa terdeteksi dalam jangka waktu lama, sekaligus menghindari tanda deteksi yang umum terkait dengan intrusi berbasis malware tradisional.