Meskipun lebih dari 20 tindakan penegakan hukum global yang menargetkan operasi ransomware tahun ini—termasuk tiga yang melumpuhkan kelompok LockBit yang sebelumnya dominan—tahun 2024 diperkirakan akan menjadi tahun yang memecahkan rekor lainnya untuk pemerasan siber. Berbagai metrik mendukung pandangan ini. Pertama, aliran pembayaran ransomware telah mencatatkan angka yang belum pernah terjadi sebelumnya, yaitu $459,8 juta pada pertengahan tahun, meningkat $10 juta dari periode yang sama pada tahun 2023, menurut firma intelijen blockchain Chainalysis. Kedua, pembayaran ransomware median melonjak dari $198.939 pada awal 2023 menjadi $1,5 juta pada pertengahan 2024, berdasarkan data dari Chainalysis. Terkait lonjakan tajam dalam pembayaran pemerasan rata-rata, Chainalysis mengatakan bahwa tren ini menunjukkan bahwa “strain” ransomware terkemuka kini memprioritaskan penargetan bisnis besar dan penyedia infrastruktur kritis yang mungkin lebih cenderung membayar tebusan tinggi. Aktivitas penargetan yang dijelaskan oleh Chainalysis ini lebih umum dikenal sebagai perburuan game besar siber (Cyber Big Game Hunting, BGH). Titik data ketiga yang menunjukkan sifat historis aktivitas ransomware pada 2024 adalah bahwa ini adalah tahun pertama dalam sejarah di mana industri global menderita empat pembayaran tebusan dengan angka delapan digit dalam rentang 12 bulan yang sama. Spree kejahatan BGH ini termasuk pembayaran luar biasa sebesar $75 juta yang dipaksakan oleh Dark Angels Team pada bulan Februari. Meskipun pembayaran Dark Angels dan tiga pembayaran delapan digit lainnya adalah penyimpangan statistik yang dapat memiliki dampak yang mengganggu terhadap rata-rata pembayaran kelompok untuk sebagian besar korban pemerasan siber. Namun, dengan LockBit yang sedang terpuruk, dan dengan rekan ancaman setara mereka ALPHV (BlackCat) yang dibubarkan, terpecah, dan diorganisasi kembali di bawah berbagai spanduk ransomware-as-a-service (RaaS), para pembela tetap waspada. Menjelang akhir 2024, satu pertanyaan kunci yang dipertanyakan oleh banyak praktisi keamanan adalah aktor ancaman mana yang akan mengisi kekosongan yang ditinggalkan oleh predator siber puncak tahun-tahun sebelumnya pada 2025? Menjawab pertanyaan ini telah dipersulit oleh transisi politik dramatis di AS setelah Pemilu Umum 2024 pada bulan November dan konflik militer yang cepat meningkat di Eropa Timur dan Timur Tengah. Untuk menyelidiki bagaimana intervensi penegakan hukum yang berlaku dan faktor geopolitik akan membentuk peringkat aktor ancaman pada 2025, ExtraHop berkonsultasi dengan tiga ahli intelijen siber terkemuka untuk menyempurnakan ramalan RaaS royalty mereka untuk tahun yang akan datang. Pandangan DiMaggio Melihat ke depan pada tahun 2025, Jon DiMaggio, seorang veteran Badan Keamanan Nasional (NSA) dan ahli intelijen manusia (HUMINT) yang terkenal karena penyusupan ala Donnie Brasco ke dalam sindikat RaaS LockBit untuk mendukung penghancuran Cronos, mengatakan bahwa RansomHub dan Cicada3301 akan menjadi “kelompok ransomware utama yang perlu diperhatikan” tahun depan. DiMaggio mencatat bahwa kedua kelompok tersebut meluncurkan operasi RaaS mereka pada tahun 2024, berhasil merekrut beberapa tim afiliasi berpengalaman dan tingkat tinggi untuk mendukung upaya pemerasan mereka. “Yang menarik, kedua kelompok ini memiliki hubungan dengan BlackCat/ALPHV, dengan afiliasi manusia yang tumpang tindih dan kesamaan kode dalam muatan ransomware mereka,” kata DiMaggio. DiMaggio menjelaskan bahwa individu di balik operasi RaaS ini adalah “pemain berpengalaman di dunia ransomware dengan hubungan yang kuat dengan komunitas kriminal Rusia.” Dia juga mencatat bahwa RansomHub menarik banyak afiliasi BlackCat setelah kelompok tersebut dibubarkan awal tahun ini. Untuk merangkum pembubaran profil tinggi mereka, BlackCat diduga telah menipu ‘Notchy’, afiliasi yang membobol Change Healthcare, dengan tidak membayar uang tebusan $22 juta yang dia peroleh dari perusahaan penagihan medis tersebut tepat sebelum geng tersebut menutup operasinya dan menjual kode sumber mereka seharga $5 juta USD. Pada 16 November 2024, RansomHub telah mengklaim korban pemerasan siber terbanyak kedua pada 2024, mencatatkan 434 organisasi di situs kebocoran data mereka (DLS), menurut pelacak ransomware DarkFeed. Angka ini hanya kalah dari LockBit, yang mengklaim 545 korban tahun ini, dan yang kini hanya menjadi bayangan dari apa yang dulu menjadi kelompok ancaman tersebut. Selain itu, banyak anggota kolektif Scattered Spider yang ahli dalam penggunaan cloud telah diamati menggunakan strain RansomHub, meskipun ada keluhan tentang kualitas locker oleh anggota dunia bawah siber. Menariknya, RansomHub juga baru-baru ini diamati menggunakan alat bypass deteksi dan respons endpoint (EDR) canggih bernama EDRKillShifter. Menurut TrendMicro, “EDRKillShifter dirancang untuk mengeksploitasi driver yang rentan, merusak efektivitas solusi EDR dengan menggunakan teknik untuk menghindari deteksi dan mengganggu proses pemantauan keamanan.” Selain itu, TrendMicro mengatakan bahwa “EDRKillShifter meningkatkan mekanisme ketahanan dengan menggunakan teknik yang memastikan kehadirannya yang terus-menerus dalam sistem, bahkan setelah kompromi awal ditemukan dan dibersihkan.” Kit bypass berbahaya ini “mengganggu proses keamanan secara dinamis dalam waktu nyata dan menyesuaikan metodenya saat kemampuan deteksi berkembang, tetap selangkah lebih maju dari alat EDR tradisional,” menurut TrendMicro. Sementara itu, DiMaggio mengatakan bahwa Cicada3301 “sepertinya telah merekrut mantan pengembang ransomware LockBit dan BlackMatter (kemudian berganti nama menjadi BlackCat) untuk mendukung perusahaan kriminal mereka.” Menariknya, Cicada3301 tampaknya mengambil namanya dari teka-teki online terkenal yang menarik perhatian para penyelidik internet di seluruh dunia setelah diposting di forum 4Chan pada tahun 2012. Terkait desain malware Cicada3301, peneliti dari IBM X-Force threat intelligence mencatat bahwa varian ini, seperti BlackCat, ditulis dalam Rust. Ketika membicarakan pengkodean malware, keuntungan utama dari mengoperasionalkan basis kode yang relatif baru seperti Rust dibandingkan bahasa pemrograman lama seperti C atau C++ adalah kemampuan Rust untuk menghindari “analisis statis dari sebagian besar sistem deteksi malware,” menurut Security Intelligence. Dengan memanfaatkan basis kode malware yang tidak begitu banyak digunakan seperti C++, aktor ancaman dapat lebih baik menghindari penemuan oleh tanda tangan statis yang digunakan oleh solusi deteksi dan respons endpoint (EDR) serta antivirus (AV) untuk mencocokkan indikator aktivitas jahat yang sebelumnya terindeks. Selain itu, Rust dilengkapi dengan kontrol keamanan built-in yang kuat, yang membuat rekayasa balik varian malware yang ditulis dalam bahasa ini jauh lebih sulit bagi pemburu ancaman. Selain itu, malware Cicada3301, seperti BlackCat, “memiliki antarmuka konfigurasi parameter yang terdefinisi dengan baik, mendaftarkan penangan pengecualian vektor, dan menggunakan metode serupa untuk penghapusan salinan bayangan dan manipulasi,” menurut laporan yang ditulis oleh perusahaan keamanan Morphisec. Atribut-atribut ini membuat varian Cicada3301 lebih dapat disesuaikan, kurang rentan terhadap deteksi dan gangguan operasional oleh kontrol keamanan, dan lebih licik dalam membatalkan setiap skema pemulihan data korban yang mungkin diaktifkan oleh salinan bayangan, masing-masing. Untuk saat ini, Cicada3301 tampaknya menghindari tren BGH yang disorot oleh Chainalysis dan lebih fokus pada sasaran yang lebih mudah seperti usaha kecil dan menengah (UKM)….
- (021) 53660861
- [email protected]
- AKR Tower – 9th Floor Jl. Panjang no. 5