Prediksi Keamanan 2025: Kelompok Ransomware Teratas yang Perlu Diperhatikan di Lanskap Ancaman Pasca-LockBit

Meskipun lebih dari 20 tindakan penegakan hukum global telah menargetkan operasi ransomware tahun ini—termasuk tiga yang melumpuhkan kelompok ransomware LockBit yang sebelumnya dominan—tahun 2024 diprediksi akan menjadi tahun rekor baru untuk pemerasan siber.

Berbagai metrik mendukung pandangan ini. Pertama, aliran pembayaran ransomware telah mencapai $459,8 juta pada pertengahan tahun, meningkat $10 juta dibandingkan dengan periode yang sama pada tahun 2023, menurut firma intelijen blockchain Chainalysis. Kedua, pembayaran ransomware median melonjak dari $198.939 pada awal 2023 menjadi $1,5 juta pada pertengahan 2024, menurut data dari Chainalysis.

Fenomena ini menunjukkan bahwa meskipun ada tindakan penegakan hukum yang agresif terhadap kelompok ransomware, ancaman ini terus berkembang dan semakin merugikan korban dengan pembayaran yang semakin tinggi.

Mengenai lonjakan drastis dalam pembayaran pemerasan rata-rata, Chainalysis menyatakan bahwa tren ini menunjukkan bahwa kelompok ransomware terkemuka “memprioritaskan target bisnis besar dan penyedia infrastruktur kritis yang mungkin lebih cenderung membayar tebusan tinggi.” Aktivitas penargetan yang dijelaskan oleh Chainalysis ini lebih umum dikenal dengan istilah cyber big game hunting (BGH), yaitu perburuan sasaran besar dalam dunia siber.

Titik data ketiga yang menggambarkan karakteristik historis dari aktivitas ransomware 2024 adalah bahwa ini adalah pertama kalinya dalam sejarah industri global mengalami empat pembayaran tebusan dengan jumlah delapan digit dalam rentang waktu 12 bulan yang sama. Kejahatan big game hunting (BGH) ini termasuk pembayaran tebusan sebesar $75 juta yang luar biasa yang dipaksa oleh Tim Dark Angels pada bulan Februari. Memang, pembayaran oleh Dark Angels dan tiga pembayaran delapan digit lainnya adalah data outlier statistik yang mungkin memiliki dampak yang distorsi pada rata-rata pembayaran grup untuk mayoritas korban pemerasan siber.

Namun demikian, dengan LockBit berada di ambang kehancuran, dan dengan rekan selevel aktor ancaman ALPHV (BlackCat) yang dibubarkan, terfragmentasi, dan disusun ulang di bawah berbagai spanduk ransomware-as-a-service (RaaS), para pembela tetap berada dalam status kewaspadaan tinggi. Ketika tahun 2024 hampir berakhir, satu pertanyaan kunci yang banyak dipertanyakan oleh praktisi keamanan adalah aktor ancaman mana yang akan muncul pada tahun 2025 untuk mengisi kekosongan yang ditinggalkan oleh predator siber puncak tahun-tahun sebelumnya?

Menjawab pertanyaan ini menjadi rumit oleh transisi politik dramatis di AS setelah Pemilu 2024 pada bulan November dan konflik militer yang semakin meningkat di Eropa Timur dan Timur Tengah. Dalam upaya untuk memahami bagaimana intervensi penegakan hukum yang berlaku dan faktor geopolitik akan membentuk peringkat aktor ancaman pada tahun 2025, ExtraHop berkonsultasi dengan tiga ahli intelijen siber terkemuka untuk menyempurnakan perkiraan RaaS pada tahun yang akan datang.

Prediksi Keamanan 2025: Tiga Kelompok Ancaman Teratas yang Harus Diwaspadai dalam Lanskap Ancaman Pasca-LockBit

Menggabungkan prediksi dari para ahli intelijen siber dan riset eksklusif dari ExtraHop, kami memprediksi bahwa RansomHub, 8BASE, dan Cl0P akan menjadi tiga kelompok ancaman teratas yang perlu diwaspadai pada tahun 2025.

Beberapa peristiwa penting yang telah mengganggu dan membentuk ulang lanskap ransomware antara lain penghancuran LockBit oleh penegak hukum internasional, pembubaran ALPHV, dan tuduhan resmi terkait hubungan tingkat tinggi antara LockBit dan sindikat kejahatan dunia maya Evil Corp yang terkenal, yang diajukan oleh National Crime Agency Inggris.

Mengenai hal ini, DiMaggio mencatat bahwa “operasi ransomware LockBit akan menurun. Dengan dakwaan dan sanksi yang dijatuhkan pada 2024, kelompok ini kesulitan untuk mendapatkan pembayaran tebusan karena pembatasan sanksi yang menghalangi korban di AS untuk membayar kelompok tersebut.” Akibatnya, DiMaggio mengatakan LockBit “akan menjadi tidak relevan dan kemungkinan akan dibubarkan.”

Meski begitu, pergerakan diaspora siber yang dipicu oleh penurunan LockBit dan pembubaran ALPHV paling mencolok mendukung kebangkitan RansomHub. Penggunaan RansomHub terhadap alat penghindaran EDR (Endpoint Detection and Response) yang sangat adaptif dan persisten, seperti EDRKillShifter, sangat memprihatinkan.

Keberhasilan alat bypass EDR generasi berikutnya ini menunjukkan mengapa penerapan deteksi dan respons jaringan (NDR) menjadi penting untuk kerangka kerja keamanan perusahaan. Meskipun aktor ancaman canggih dapat menonaktifkan aplikasi EDR dan merusak log keamanan, data paket jaringan menawarkan sumber kebenaran yang tidak dapat diubah yang tidak dapat dihindari atau dinonaktifkan.

8BASE adalah kelompok ancaman lainnya yang harus diwaspadai pada tahun 2025. Setelah jeda singkat, kelompok ini muncul kembali secara agresif pada Oktober 2024, mengumumkan 13 korban baru di situs kebocoran data mereka. Korban yang paling menonjol baru-baru ini adalah produsen mobil Jerman besar.

8BASE “menggunakan cabang ransomware Phobos yang terkenal yang menghasilkan jutaan dari serangkaian perusahaan pemerintah dan infrastruktur kritis,” menurut The Register. Dari 25 operasi RaaS baru yang muncul pada 2023, 8BASE, bersama dengan Akira, adalah dua “pelaku” ransomware menonjol yang diidentifikasi oleh tim intelijen ancaman Unit 42 dari Palo Alto Networks.

Akhirnya, dengan TTP (taktik, teknik, dan prosedur) yang berfokus pada eksfiltrasi data dan tidak terenkripsi, yang diperkirakan oleh DiMaggio akan mulai berkembang tahun depan, dan ramalan ancaman utama Bohuslavskiy serta kebocoran data terkait MOVEit yang baru-baru ini dipublikasikan di Breach Forums, ExtraHop menilai bahwa Cl0P sedang mempersiapkan kebangkitan besar pada tahun 2025.

Ketika kelompok operator ransomware elit baru menyempurnakan rantai serangan mereka dengan alat pembunuh EDR generasi berikutnya dan menerapkan metode yang telah mapan untuk mengeksploitasi lingkungan Active Directory yang sulit diamankan, organisasi perlu memanfaatkan telemetri jaringan untuk melawan aktor ancaman. Meskipun pencegahan akses awal mungkin hampir mustahil, platform RevealX™ NDR dapat membantu pembela mengidentifikasi penyalahgunaan Active Directory dan sinyal serangan beban kerja cloud pada tahap-tahap paling awal.