Scattered Spider dan Cetak Biru Baru untuk Serangan Siber Cloud-Native yang Menghindari Endpoint
Serangkaian serangan siber profil tinggi yang menargetkan peritel berbasis di Inggris, termasuk Marks & Spencer dan Co-Op, telah memicu kembali kekhawatiran tentang meningkatnya ancaman berbasis cloud-native yang berpusat pada identitas. Hingga saat ini, belum ada atribusi publik yang diverifikasi yang mengaitkan insiden-insiden ini dengan kelompok ancaman tertentu. Namun, taktik yang diamati sangat mirip dengan yang sebelumnya dikaitkan dengan Scattered Spider—kelompok bermotif finansial yang dikonfirmasi telah menyerang MGM Resorts dan Caesars Entertainment pada 2023.
Serangan ini menjadi pengingat keras: model keamanan tradisional yang berfokus pada endpoint tidak lagi memadai dalam menghadapi penyerang yang beroperasi sepenuhnya di lingkungan cloud, mengeksploitasi sistem identitas, dan bergerak dengan cepat dan luwes di infrastruktur perusahaan.
Artikel ini membahas anatomi operasi Scattered Spider, mengapa metode deteksi lama gagal, dan bagaimana analitik perilaku, korelasi identitas, serta deteksi anomali real-time menjadi esensial dalam operasi keamanan modern.
Siapa Itu Scattered Spider?
Scattered Spider adalah kelompok ancaman bermotif finansial yang menggunakan bahasa Inggris, muncul sekitar tahun 2022, dan menjadi kelompok ancaman paling banyak ditelusuri pada 2023. Dikenal karena kemampuan rekayasa sosialnya yang canggih dan keahlian mendalam di lingkungan cloud, kelompok ini menembus pertahanan tradisional dengan menggunakan alat cloud-native, kesalahan konfigurasi federasi identitas, dan teknik living-off-the-land (LOTL).
Microsoft menyebut mereka sebagai “salah satu kelompok kejahatan siber finansial paling berbahaya,” dan memang demikian adanya. Mereka beroperasi lebih seperti Red Team dibanding afiliasi ransomware, menggabungkan stealth, kecepatan, dan kedalaman teknis untuk menyerang tanpa malware atau pemicu sistem deteksi standar.
Mengapa Ancaman Ini Merupakan Pergeseran Paradigma
- Kemampuan Bahasa dan Budaya
Tidak seperti banyak operator ransomware lainnya, anggota Scattered Spider adalah penutur asli bahasa Inggris. Hal ini memungkinkan mereka menjalankan kampanye rekayasa sosial yang sangat meyakinkan, seperti:
- Serangan MFA fatigue – membanjiri pengguna dengan notifikasi otentikasi hingga salah satunya disetujui.
- Kampanye vishing – menelepon sebagai staf IT internal untuk memperoleh kredensial atau manipulasi help desk.
Dengan meniru perilaku bisnis yang sah, mereka mengeksploitasi kepercayaan dalam proses manusia—hal yang sering terlewat oleh deteksi statis.
Exabeam UEBA menciptakan baseline perilaku pengguna dan sistem, lalu mendeteksi anomali seperti pola login yang tidak biasa, akses di waktu tidak wajar, atau ketidaksesuaian geografis—bahkan saat kredensial dan perangkat tampak sah.
- Penghindaran Endpoint dan Operasi Cloud-Native
Scattered Spider menghindari malware tradisional dan kompromi endpoint. Mereka beroperasi sepenuhnya di cloud, mengeksploitasi layanan seperti Azure, AWS, dan GCP, menggunakan alat resmi seperti:
- Azure CLI dan PowerShell untuk eksekusi perintah
- Azure Data Factory untuk eksfiltrasi data lewat alur kerja legal
- Kesalahan konfigurasi federasi identitas (misalnya dari AzureAD ke Okta)
Exabeam mampu menganalisis log dari berbagai platform dan mengidentifikasi anomali cloud serta pergerakan kredensial lintas identitas.
- LOTL dan Kelincahan Teknik
Scattered Spider sangat ahli menggunakan teknik living-off-the-land, yaitu memanfaatkan alat sistem yang sah untuk menjalankan aksinya tanpa malware. Taktik mereka pun sering berubah, membuat deteksi berbasis tanda tangan menjadi tidak efektif.
Contohnya:
- Menggunakan PowerShell, tugas terjadwal, dan framework otomatisasi legal
- Mencuri token sesi untuk mengakses akun tanpa pemicu MFA
- Mengekstraksi data lewat jalur sah yang tidak terdeteksi
Deteksi berbasis perilaku Exabeam memantau frekuensi perintah, pola penggunaan, dan deviasi dari baseline historis untuk mengenali aktivitas mencurigakan.
- Kompromi Cepat dan Pergerakan Lateral
Dalam kasus yang diamati, kelompok ini bergerak dari akses awal ke dominasi domain hanya dalam hitungan jam, dengan mengeksploitasi:
- Misuse federasi identitas untuk pergerakan antar-tenant
- Segmentasi cloud yang buruk dan peran yang terlalu luas
- Respon insiden yang lambat atau tidak lengkap
Exabeam membangun timeline insiden secara otomatis, menghubungkan aktivitas pengguna, aplikasi, dan sistem ke dalam narasi lengkap.
- Kolaborasi dengan RaaS (Ransomware-as-a-Service)
Meski berperan sebagai broker akses awal, Scattered Spider juga terhubung dengan ransomware BlackCat/ALPHV. BlackCat ditulis dalam Rust, modular, dan mendukung double extortion.
Namun, pada saat ransomware dijalankan, kerusakan sudah terjadi. Peluang sejati ada pada pendeteksian dini—sebelum enkripsi dimulai.
Exabeam mendeteksi aktivitas abnormal seperti akses tidak sah ke backup, pembuatan layanan baru, dan perpindahan file sebelum proses enkripsi dimulai.
Pelajaran Lebih Besar: Kegagalan Dasar-Dasar Keamanan
Scattered Spider berhasil bukan karena menembus pertahanan canggih, tapi karena mengeksploitasi kelalaian dasar, seperti:
- Kegagalan Kontrol Akses
- MFA lemah dan rentan kelelahan
- SIM swapping
- Token sesi tanpa perlindungan
- Federasi Identitas
- Penyalahgunaan kepercayaan antara Azure, Okta, dsb.
- Peran yang terlalu luas dan SSO yang salah konfigurasi
- Kebersihan Cloud yang Buruk
- Akun layanan dengan izin berlebihan
- Minimnya pemantauan pada alat otomatisasi cloud
- Penghindaran Endpoint
- Tidak menyentuh perangkat sama sekali
- Beroperasi penuh di SaaS dan control plane cloud
- Kecepatan Eksekusi
- Intrusi selesai dalam hitungan jam
- Terlambat dideteksi oleh alat tradisional
Mengapa Exabeam Dirancang untuk Ancaman Seperti Ini
Tak seperti alat tradisional, Exabeam memahami perilaku, mengorelasikan identitas, dan merekonstruksi serangan—bahkan tanpa jejak di endpoint.
Fitur utama Exabeam meliputi:
- UEBA dan Deteksi Ancaman Internal
- Mendeteksi penyalahgunaan akun dan alat sah tanpa butuh malware.
- Visibilitas Cloud-Native
- Menjejak perilaku identitas di Azure, AWS, GCP, dan hybrid.
- Korelasi Perilaku, Bukan Aturan Statis
- Mendeteksi penyimpangan dari pola normal lingkungan.
- Investigasi Berbasis Timeline
- Menyusun narasi dari akses awal hingga dampak akhir.
Kesimpulan: Ini Bukan Anomali — Ini Peringatan
Scattered Spider bukan pengecualian — mereka adalah pertanda masa depan. Saat penyerang makin mahir dalam infrastruktur cloud dan sistem identitas, permukaan serangan melampaui jangkauan alat lama.
Tim keamanan harus berevolusi:
Dari reaktif → antisipatif
Dari aturan → pemahaman
Dari sinyal terpisah → konteks terpadu
Dengan Exabeam, organisasi bisa mendeteksi, memahami, merespons, dan mencegah ancaman—karena di dunia di mana penyerang berbaur, perilaku adalah kebenaran di balik kebisingan.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. LogRhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindoneia.id dan konsultasikan kebutuhan IT Anda dengan kami!
