Hati-hati, Fortinet Ungkap Lonjakan Serangan Siber Berbasis AI

JAKARTA – Perusahaan keamanan sibur Fortinet mengumumkan Laporan Lanskap Ancaman Global 2025 dari FortiGuard Labs. Laporan tahunan ini menyajikan gambaran lanskap ancaman aktif dan tren sepanjang tahun 2024, termasuk analisis komprehensif terhadap seluruh taktik yang digunakan dalam serangan siber sebagaimana diuraikan dalam kerangka kerja MITRE ATT&CK.

Data dalam laporan ini mengungkap bahwa pelaku ancaman semakin memanfaatkan otomatisasi, alat-alat yang dikomoditaskan, dan teknologi AI untuk secara sistematis mengikis keunggulan tradisional yang sebelumnya dimiliki oleh pihak defender seperti tim IT atau security operation center.

“Laporan Lanskap Ancaman Global terbaru kami menunjukkan satu hal yang jelas: pelaku kejahatan siber semakin mempercepat aksinya, menggunakan AI dan otomatisasi untuk beroperasi dengan kecepatan dan skala yang belum pernah terjadi sebelumnya,” ujar, Chief Security Strategist dan Global VP Threat Intelligence di FortiGuard Labs milik Fortinet Derek Manky melelui keterangan tertulis pada hari Jumat (30/5).

“Panduan keamanan tradisional tidak lagi memadai. Organisasi harus beralih ke strategi pertahanan yang proaktif dan berbasis kecerdasan, yang didukung oleh AI, zero trust, dan manajemen paparan ancaman secara berkelanjutan, untuk tetap selangkah lebih maju menghadapi lanskap ancaman yang terus berkembang pesat saat ini,” ungkapnya.

Temuan utama dari Laporan Lanskap Ancaman Global terbaru dari FortiGuard Labs mencakup beberapa hal sebagai berikut.

Pemindaian otomatis capai rekor tertinggi saat Penyerang Melakukan Shift Left untuk mengidentifikasi target terbuka sejak dini

Untuk memanfaatkan kerentanan baru yang ditemukan, pelaku kejahatan siber menerapkan pemindaian otomatis dalam skala global. Aktivitas pemindaian di dunia maya mencapai tingkat yang belum pernah terjadi sebelumnya pada tahun 2024. Angkanya meningkat sebesar 16,7% secara global dibandingkan tahun sebelumnya, yang menunjukkan pengumpulan informasi digital secara masif dan canggih terhadap infrastruktur yang terbuka.

“FortiGuard Labs mengamati miliaran pemindaian setiap bulan setara dengan 36.000 pemindaian per detik yang mengungkapkan peningkatan fokus dalam memetakan layanan terbuka seperti SIP dan RDP, serta protokol OT/IoT seperti Modbus TCP,” kata Manky.

Kedua marketplace di darknet mempermudah akses ke kit eksploitasi yang dikemas rapi

Darknet adalah bagian dari internet yang tidak bisa ditemukan oleh mesin pencari populer. Pada tahun 2024, forum-forum pelaku kejahatan siber semakin berkembang menjadi marketplace canggih tempat diperjualbelikannya kit eksploitasi, dengan lebih dari 40.000 kerentanan keamanan baru yang tercatat di National Vulnerability Database (NVD), naik 39% dibandingkan tahun 2023.

Selain kerentanan zero-day yang beredar di darknet, broker akses awal juga semakin sering menawarkan kredensial perusahaan (20%), akses RDP (19%), panel admin (13%), dan web shell (12%). FortiGuard Labs mencatat peningkatan 500% sepanjang tahun lalu dalam jumlah log yang tersedia dari sistem yang terinfeksi infostealer malware, dengan 1,7 miliar catatan kredensial yang dicuri dibagikan di forum illegal tersebut.

Kejahatan siber berbasis AI berkembang pesat 

Pelaku ancaman memanfaatkan AI untuk meningkatkan realisme phishing dan menghindari kontrol keamanan tradisional, sehingga membuat serangan siber lebih efektif dan sulit dideteksi. Alat seperti FraudGPT, BlackmailerV3, dan ElevenLabs mendorong kampanye yang lebih masif, meyakinkan, dan efektif tanpa batasan etika seperti yang ditemukan pada alat AI publik.

Serangan terarah pada sektor penting meningkat tajam

Industri seperti manufaktur, layanan kesehatan, dan jasa keuangan terus mengalami lonjakan serangan siber yang disesuaikan, dengan pelaku ancaman memanfaatkan eksploitasi spesifik sektor. Pada tahun 2024, sektor yang paling disasar adalah manufaktur (17%), jasa bisnis (11%), konstruksi (9%), dan ritel (9%).

Baik pelaku ancaman siber yang bekerja atas nama negara tertentu maupun operator Ransomware-as-a-Service (RaaS) memusatkan upaya mereka pada sektor-sektor ini. Amerika Serikat menjadi target utama serangan ini (61%), diikuti oleh Inggris (6%) dan Kanada (5%).

Risiko keamanan cloud dan IoT meningkat 

Lingkungan cloud terus menjadi sasaran utama, dengan pelaku ancaman mengeksploitasi kelemahan yang terus ada seperti open storage bucket, identitas dengan hak akses berlebihan, dan layanan yang dikonfigurasi secara tidak tepat.

Dalam 70% dari insiden yang diamati, penyerang memperoleh akses melalui login dari lokasi geografis yang tidak dikenali di mana hal ini menyoroti pentingnya pemantauan identitas dalam pertahanan cloud.

Kredensial menjadi mata uang kejahatan siber

Pada tahun 2024, pelaku kejahatan siber membagikan lebih dari 100 miliar catatan yang telah disusupi di forum bawah tanah, meningkat sebesar 42% dibanding tahun sebelumnya, yang sebagian besar dipicu oleh meningkatnya penggunaan “combo list” yang berisi username, password, dan alamat email yang dicuri. Lebih dari separuh unggahan di darknet melibatkan basis data yang bocor, yang memungkinkan pelaku mengotomatisasi serangan credential stuffing dalam skala besar.

Kelompok terkenal seperti BestCombo, BloddyMery, dan ValidMail menjadi grup siber paling aktif selama periode ini dan terus menurunkan hambatan bagi pelaku baru dengan mengemas dan memvalidasi kredensial ini, sehingga mendorong lonjakan pembajakan akun, penipuan keuangan, dan spionase korporat.

Catatan CISO: memperkuat pertahanan siber terhadap ancaman yang muncul

Laporan Lanskap Ancaman Global Fortinet memberikan detail mendalam tentang taktik dan teknik terbaru yang digunakan pelaku ancaman, sekaligus menyajikan rekomendasi preskriptif dan wawasan yang dapat langsung ditindaklanjuti.

Dirancang untuk memberdayakan para CISO dan tim keamanan, laporan ini menawarkan strategi untuk mengatasi pelaku ancaman sebelum mereka menyerang, membantu organisasi tetap selangkah lebih maju menghadapi ancaman siber yang terus berkembang. Laporan tahun ini mencakup Panduan CISO untuk Pertahanan terhadap Pelaku Ancaman yang menyoroti beberapa area strategis berikut:

Beralih dari deteksi ancaman tradisional ke manajemen paparan ancaman berkelanjutan

Pendekatan proaktif ini menekankan manajemen permukaan serangan yang berkelanjutan, emulasi perilaku pelaku ancaman di dunia nyata, prioritisasi remediasi berbasis risiko, dan otomatisasi respons deteksi serta pertahanan.

Penggunaan alat simulasi pelanggaran dan serangan (breach & attack simulation/BAS) untuk menilai pertahanan endpoint, jaringan, dan cloud secara rutin terhadap skenario serangan nyata memastikan ketahanan terhadap pergerakan lateral dan eksploitasi.

Mensimulasikan serangan dunia nyata

Melakukan latihan simulasi pelaku ancaman, red teaming dan purple teaming, serta manfaatkan kerangka MITRE ATT&CK untuk menguji ketahanan terhadap ancaman seperti ransomware dan kampanye spionase.

Mengurangi paparan serangan permukaan

Menggunakan alat manajemen permukaan serangan (attack surface management/ASM) untuk mendeteksi aset yang terekspos, kredensial yang bocor, dan kerentanan yang dapat dieksploitasi, sambil memantau forum darknet secara berkelanjutan untuk mendeteksi ancaman baru.

Memprioritaskan kerentanan risiko tinggi

Memfokuskan upaya remediasi pada kerentanan yang secara aktif dibahas oleh kelompok kejahatan siber, dengan memanfaatkan kerangka kerja prioritisasi berbasis risiko seperti EPSS dan CVSS guna mendukung manajemen patch yang efektif.

Memanfaatkan intelijen dark web 

Memantau marketplace di darknet untuk mendeteksi layanan ransomware yang muncul dan melacak aktivitas koordinasi kelompok hacktivist guna mengantisipasi ancaman seperti serangan DDoS dan pengubahan tampilan situs web (web defacement).