Menggabungkan perspektif para ahli intelijen siber dan riset eksklusif kami, ExtraHop memprediksi bahwa RansomHub, 8BASE, dan Cl0P akan menjadi tiga grup ancaman utama yang harus diperhatikan pada tahun 2025. Peristiwa besar dalam industri yang telah mengguncang dan membentuk ulang lanskap ransomware termasuk peretakan LockBit oleh penegakan hukum internasional, pembubaran ALPHV, dan tuduhan resmi yang mengaitkan LockBit dengan sindikat kejahatan siber Russo-Ukraina yang terkenal, Evil Corp, oleh National Crime Agency Inggris.
Berikut adalah prediksi untuk ketiga grup ancaman tersebut:
- RansomHub
RansomHub, yang muncul setelah pembubaran LockBit dan ALPHV, diprediksi akan menjadi ancaman utama di tahun 2025. Penggunaan alat bypass EDR (Endpoint Detection and Response) yang sangat adaptif dan persisten seperti EDRKillShifter menjadi perhatian besar. Alat ini memungkinkan para peretas untuk menonaktifkan kontrol keamanan endpoint dan menghindari deteksi, yang semakin menggarisbawahi pentingnya Network Detection and Response (NDR) dalam kerangka keamanan perusahaan. Dengan kemampuan untuk merusak aplikasi EDR dan memanipulasi log keamanan, RansomHub terus berkembang sebagai salah satu kelompok ransomware paling berbahaya.
- 8BASE
Setelah jeda singkat, 8BASE kembali muncul pada Oktober 2024, mengumumkan 13 korban baru, termasuk produsen mobil besar asal Jerman. 8BASE menggunakan varian dari ransomware Phobos, yang sebelumnya dikenal telah menghasilkan jutaan dolar dari serangan terhadap perusahaan pemerintah dan infrastruktur kritis. Dikenal karena serangannya yang agresif, 8BASE juga diprediksi akan menjadi salah satu grup ransomware paling berpengaruh pada 2025, mengingat performa mengesankan mereka pada 2023 yang menarik perhatian para ahli ancaman.
- Cl0P
Cl0P, yang dikenal karena serangan pemerasan data tanpa enkripsi dan fokus pada pencurian data, diprediksi akan melakukan kebangkitan besar pada 2025. Sebagai grup yang sangat terorganisir dan mapan, Cl0P telah menjadi pemain kunci dalam serangan terkait data yang terungkap melalui kebocoran data MOVEit. Dengan tren ransomware yang berfokus pada pemerasan data tanpa enkripsi yang diprediksi akan semakin meluas, Cl0P berada di posisi yang kuat untuk memanfaatkan serangan berbasis pencurian data ini dan menjadi ancaman besar.
Tren Umum di 2025:
Selain itu, menurut Jon DiMaggio, ancaman ransomware pada 2025 akan semakin menghindari penggunaan enkripsi data, fokus pada pencurian data dan pemerasan tanpa enkripsi yang memakan lebih sedikit waktu dan sumber daya, serta memberikan lebih sedikit peluang bagi pembela untuk mendeteksi aktivitas mereka.
Strategi Pertahanan:
Dalam menghadapi ancaman ini, alat NDR seperti RevealX semakin penting untuk mendeteksi serangan ransomware di tahap awal. Dengan kemampuan untuk menganalisis data paket jaringan secara real-time dan dekripsi protokol yang komprehensif, RevealX memberikan tim keamanan visibilitas penuh dan memungkinkan mereka untuk mengidentifikasi aktivitas berbahaya dan mengintervensi rantai serangan dengan kecepatan yang belum pernah terjadi sebelumnya. Teknologi ini sangat efektif dalam mendeteksi dan menghentikan serangan yang berfokus pada penyalahgunaan Active Directory dan beban kerja cloud, yang sering menjadi sasaran oleh para peretas.
Dengan grup-grup ransomware yang semakin terorganisir dan lebih canggih, perusahaan harus memanfaatkan kekuatan penuh dari telemetri jaringan untuk mengidentifikasi serangan siber di tahap paling awal dan melindungi sistem mereka dari ancaman yang berkembang pesat ini.
Prediksi Bohuslavskiy: Ancaman Ransomware yang Perlu Diperhatikan di 2025
Berdasarkan metrik kinerja ransomware tahun 2024, Yelisey Bohuslavskiy, Chief Research Officer dari RedSense, mengidentifikasi tiga grup ransomware utama yang harus diperhatikan pada tahun 2025: Dark Angels, Cl0P, dan kemungkinan BlackBasta. Namun, Bohuslavskiy juga mencatat bahwa ada beberapa klaster ancaman yang tidak hanya berupa satu grup, tetapi menjadi ancaman gabungan karena kerja sama internal yang erat di antara aktor-aktor tersebut.
Klaster Ancaman yang Perlu Diperhatikan:
- Akira-BlackSuit-Play-INC-Zeon
Klaster pertama ini mencakup beberapa grup ransomware besar yang beroperasi dengan cara yang sangat terkoordinasi dan mengancam secara kolektif. Grup-grup ini memiliki hubungan yang erat dalam hal teknik serangan dan sumber daya, menciptakan ancaman yang lebih kuat saat bekerja bersama. - Derivatif LockBit
Klaster kedua terdiri dari aktor-aktor individu yang menggunakan varian dari LockBit. Baru-baru ini, kelompok ransomware seperti NullBulge memanfaatkan pembangun LockBit Black yang bocor, yang menambah dimensi baru pada taktik dan teknik yang digunakan dalam serangan ransomware.
Fokus pada Cl0P:
Bohuslavskiy juga mencatat Cl0P sebagai grup yang patut diperhatikan, terutama setelah kebocoran data karyawan perusahaan teknologi terkemuka pada Breach Forums pada November 2024. Kebocoran ini diyakini terkait dengan serangan MOVEit supply chain yang mempengaruhi lebih dari 2.700 organisasi di seluruh dunia.
Nam3L3ss, aktor ancaman yang memposting data bocor tersebut, mengaitkan kebocoran ini dengan serangan MOVEit yang terjadi pada 2023. Sejak saat itu, Nam3L3ss telah mempublikasikan lebih dari selusin kebocoran data karyawan dari berbagai perusahaan besar, yang menunjukkan kemungkinan penggunaan akun tersebut oleh Cl0P untuk mempromosikan serangan mereka dan menguatkan kembali kesadaran komunitas keamanan terhadap grup tersebut.
Taktik, Teknik, dan Prosedur (TTP) yang Diharapkan:
Bohuslavskiy memperkirakan bahwa TTP yang paling sering digunakan pada 2025 akan berfokus pada pemetaan aktif Active Directory setelah akses awal. Hal ini menunjukkan bahwa ransomware akan terus menargetkan Active Directory untuk memperoleh informasi lebih lanjut mengenai struktur organisasi dan menyusun eksfiltrasi data yang lebih lanjut. Prediksi ini sejalan dengan tren yang diamati sebelumnya, di mana Active Directory menjadi titik rentan utama bagi banyak organisasi yang diserang oleh ransomware.
Tren Industri dan Sektor Spesifik:
Bohuslavskiy juga mengungkapkan bahwa setelah tahun 2024, sangat jelas bahwa para operator ransomware elite mulai memfokuskan serangan mereka pada sektor kesehatan, yang menjadi sasaran utama mereka dengan intensitas yang belum pernah terjadi sebelumnya. Serangan terhadap sektor kesehatan tahun ini telah menjadi yang paling persisten dan terkoordinasi dalam sejarah kampanye ransomware, menandakan bahwa sektor ini akan terus menjadi target utama pada 2025.
Selain itu, ia mencatat bahwa ada bukti yang menunjukkan serangan agresif terhadap organisasi di kompleks militer-industri Barat, meskipun serangan-serangan ini tidak muncul di situs kebocoran data publik karena sektor ini umumnya membayar tebusan, mencegahnya untuk terdaftar di “shame blogs.”
Kesimpulan:
Bohuslavskiy mengindikasikan bahwa pada 2025, ransomware akan semakin terfokus pada sektor-sektor tertentu dengan tujuan memaksimalkan keuntungan finansial dan gangguan operasional. Para aktor ancaman akan terus mengembangkan teknik mereka untuk mengeksploitasi celah dalam infrastruktur Active Directory dan memanfaatkan kelemahan sektor-sektor yang sangat bergantung pada data sensitif dan infrastruktur kritis.
Apabila anda butuh penjelasan lebih detail mengenai extrahop bisa langsung hubungi Extrahop Indonesia.