Meskipun lebih dari 20 tindakan penegakan hukum global yang menargetkan operasi ransomware tahun ini—termasuk tiga yang melumpuhkan kelompok LockBit yang sebelumnya dominan—tahun 2024 diperkirakan akan menjadi tahun yang memecahkan rekor lainnya untuk pemerasan siber.
Berbagai metrik mendukung pandangan ini. Pertama, aliran pembayaran ransomware telah mencatatkan angka yang belum pernah terjadi sebelumnya, yaitu $459,8 juta pada pertengahan tahun, meningkat $10 juta dari periode yang sama pada tahun 2023, menurut firma intelijen blockchain Chainalysis. Kedua, pembayaran ransomware median melonjak dari $198.939 pada awal 2023 menjadi $1,5 juta pada pertengahan 2024, berdasarkan data dari Chainalysis.
Terkait lonjakan tajam dalam pembayaran pemerasan rata-rata, Chainalysis mengatakan bahwa tren ini menunjukkan bahwa “strain” ransomware terkemuka kini memprioritaskan penargetan bisnis besar dan penyedia infrastruktur kritis yang mungkin lebih cenderung membayar tebusan tinggi. Aktivitas penargetan yang dijelaskan oleh Chainalysis ini lebih umum dikenal sebagai perburuan game besar siber (Cyber Big Game Hunting, BGH).
Titik data ketiga yang menunjukkan sifat historis aktivitas ransomware pada 2024 adalah bahwa ini adalah tahun pertama dalam sejarah di mana industri global menderita empat pembayaran tebusan dengan angka delapan digit dalam rentang 12 bulan yang sama. Spree kejahatan BGH ini termasuk pembayaran luar biasa sebesar $75 juta yang dipaksakan oleh Dark Angels Team pada bulan Februari. Meskipun pembayaran Dark Angels dan tiga pembayaran delapan digit lainnya adalah penyimpangan statistik yang dapat memiliki dampak yang mengganggu terhadap rata-rata pembayaran kelompok untuk sebagian besar korban pemerasan siber.
Namun, dengan LockBit yang sedang terpuruk, dan dengan rekan ancaman setara mereka ALPHV (BlackCat) yang dibubarkan, terpecah, dan diorganisasi kembali di bawah berbagai spanduk ransomware-as-a-service (RaaS), para pembela tetap waspada. Menjelang akhir 2024, satu pertanyaan kunci yang dipertanyakan oleh banyak praktisi keamanan adalah aktor ancaman mana yang akan mengisi kekosongan yang ditinggalkan oleh predator siber puncak tahun-tahun sebelumnya pada 2025?
Menjawab pertanyaan ini telah dipersulit oleh transisi politik dramatis di AS setelah Pemilu Umum 2024 pada bulan November dan konflik militer yang cepat meningkat di Eropa Timur dan Timur Tengah. Untuk menyelidiki bagaimana intervensi penegakan hukum yang berlaku dan faktor geopolitik akan membentuk peringkat aktor ancaman pada 2025, ExtraHop berkonsultasi dengan tiga ahli intelijen siber terkemuka untuk menyempurnakan ramalan RaaS royalty mereka untuk tahun yang akan datang.
Pandangan DiMaggio
Melihat ke depan pada tahun 2025, Jon DiMaggio, seorang veteran Badan Keamanan Nasional (NSA) dan ahli intelijen manusia (HUMINT) yang terkenal karena penyusupan ala Donnie Brasco ke dalam sindikat RaaS LockBit untuk mendukung penghancuran Cronos, mengatakan bahwa RansomHub dan Cicada3301 akan menjadi “kelompok ransomware utama yang perlu diperhatikan” tahun depan.
DiMaggio mencatat bahwa kedua kelompok tersebut meluncurkan operasi RaaS mereka pada tahun 2024, berhasil merekrut beberapa tim afiliasi berpengalaman dan tingkat tinggi untuk mendukung upaya pemerasan mereka. “Yang menarik, kedua kelompok ini memiliki hubungan dengan BlackCat/ALPHV, dengan afiliasi manusia yang tumpang tindih dan kesamaan kode dalam muatan ransomware mereka,” kata DiMaggio.
DiMaggio menjelaskan bahwa individu di balik operasi RaaS ini adalah “pemain berpengalaman di dunia ransomware dengan hubungan yang kuat dengan komunitas kriminal Rusia.” Dia juga mencatat bahwa RansomHub menarik banyak afiliasi BlackCat setelah kelompok tersebut dibubarkan awal tahun ini. Untuk merangkum pembubaran profil tinggi mereka, BlackCat diduga telah menipu ‘Notchy’, afiliasi yang membobol Change Healthcare, dengan tidak membayar uang tebusan $22 juta yang dia peroleh dari perusahaan penagihan medis tersebut tepat sebelum geng tersebut menutup operasinya dan menjual kode sumber mereka seharga $5 juta USD.
Pada 16 November 2024, RansomHub telah mengklaim korban pemerasan siber terbanyak kedua pada 2024, mencatatkan 434 organisasi di situs kebocoran data mereka (DLS), menurut pelacak ransomware DarkFeed. Angka ini hanya kalah dari LockBit, yang mengklaim 545 korban tahun ini, dan yang kini hanya menjadi bayangan dari apa yang dulu menjadi kelompok ancaman tersebut. Selain itu, banyak anggota kolektif Scattered Spider yang ahli dalam penggunaan cloud telah diamati menggunakan strain RansomHub, meskipun ada keluhan tentang kualitas locker oleh anggota dunia bawah siber.
Menariknya, RansomHub juga baru-baru ini diamati menggunakan alat bypass deteksi dan respons endpoint (EDR) canggih bernama EDRKillShifter. Menurut TrendMicro, “EDRKillShifter dirancang untuk mengeksploitasi driver yang rentan, merusak efektivitas solusi EDR dengan menggunakan teknik untuk menghindari deteksi dan mengganggu proses pemantauan keamanan.”
Selain itu, TrendMicro mengatakan bahwa “EDRKillShifter meningkatkan mekanisme ketahanan dengan menggunakan teknik yang memastikan kehadirannya yang terus-menerus dalam sistem, bahkan setelah kompromi awal ditemukan dan dibersihkan.” Kit bypass berbahaya ini “mengganggu proses keamanan secara dinamis dalam waktu nyata dan menyesuaikan metodenya saat kemampuan deteksi berkembang, tetap selangkah lebih maju dari alat EDR tradisional,” menurut TrendMicro.
Sementara itu, DiMaggio mengatakan bahwa Cicada3301 “sepertinya telah merekrut mantan pengembang ransomware LockBit dan BlackMatter (kemudian berganti nama menjadi BlackCat) untuk mendukung perusahaan kriminal mereka.” Menariknya, Cicada3301 tampaknya mengambil namanya dari teka-teki online terkenal yang menarik perhatian para penyelidik internet di seluruh dunia setelah diposting di forum 4Chan pada tahun 2012.
Terkait desain malware Cicada3301, peneliti dari IBM X-Force threat intelligence mencatat bahwa varian ini, seperti BlackCat, ditulis dalam Rust. Ketika membicarakan pengkodean malware, keuntungan utama dari mengoperasionalkan basis kode yang relatif baru seperti Rust dibandingkan bahasa pemrograman lama seperti C atau C++ adalah kemampuan Rust untuk menghindari “analisis statis dari sebagian besar sistem deteksi malware,” menurut Security Intelligence.
Dengan memanfaatkan basis kode malware yang tidak begitu banyak digunakan seperti C++, aktor ancaman dapat lebih baik menghindari penemuan oleh tanda tangan statis yang digunakan oleh solusi deteksi dan respons endpoint (EDR) serta antivirus (AV) untuk mencocokkan indikator aktivitas jahat yang sebelumnya terindeks. Selain itu, Rust dilengkapi dengan kontrol keamanan built-in yang kuat, yang membuat rekayasa balik varian malware yang ditulis dalam bahasa ini jauh lebih sulit bagi pemburu ancaman.
Selain itu, malware Cicada3301, seperti BlackCat, “memiliki antarmuka konfigurasi parameter yang terdefinisi dengan baik, mendaftarkan penangan pengecualian vektor, dan menggunakan metode serupa untuk penghapusan salinan bayangan dan manipulasi,” menurut laporan yang ditulis oleh perusahaan keamanan Morphisec. Atribut-atribut ini membuat varian Cicada3301 lebih dapat disesuaikan, kurang rentan terhadap deteksi dan gangguan operasional oleh kontrol keamanan, dan lebih licik dalam membatalkan setiap skema pemulihan data korban yang mungkin diaktifkan oleh salinan bayangan, masing-masing.
Untuk saat ini, Cicada3301 tampaknya menghindari tren BGH yang disorot oleh Chainalysis dan lebih fokus pada sasaran yang lebih mudah seperti usaha kecil dan menengah (UKM). Tetapi mengingat warisan operator RaaS elit grup ini, DiMaggio percaya Cicada3301 akan menjadi jauh lebih ambisius pada 2025. Vektor kompromi awal yang lebih disukai oleh grup ini “sepertinya melalui Protokol Desktop Jarak Jauh (RDP), kemungkinan menggunakan kredensial yang dicuri atau kata sandi yang dapat dibobol,” menurut penelitian IBM X-Force.
Secara keseluruhan, DiMaggio mengatakan bahwa RansomHub dan Cicada3301 “menyebabkan ancaman signifikan karena pendanaan mereka yang kuat—kemungkinan berasal dari aktivitas kriminal sebelumnya—dukungan dari kriminal berpengalaman, dan posisi mereka yang sudah tertanam dalam ekosistem ransomware.”
Terkait taktik, teknik, dan prosedur yang DiMaggio harapkan lebih sering dioperasionalkan tahun depan, dia mengatakan dia memperkirakan “lebih banyak geng ransomware yang akan meninggalkan taktik mengenkripsi data korban.” Dia melanjutkan, “Meskipun pendekatan ini tidak akan hilang sepenuhnya, itu akan berkurang seiring dengan kesadaran aktor ancaman bahwa itu menghabiskan waktu dan sumber daya untuk mengenkripsi lingkungan korban dan memberi kesempatan lebih bagi pembela untuk mendeteksi aktivitas tersebut.”
“Sebagai gantinya, kita kemungkinan akan melihat peningkatan pelanggaran yang mengakibatkan pencurian data dan pemerasan saja,” kata DiMaggio. Menariknya, ini adalah jenis taktik yang dioperasionalkan oleh kelompok ransomware Cl0P pada 2023 ketika mereka melakukan serangan rantai pasokan besar pada aplikasi transfer file terkelola MOVEit dari Progress Software. Ketika menganalisis ribuan organisasi yang terpengaruh oleh peretasan ini, para ahli berspekulasi bahwa Cl0P diperkirakan akan memperoleh total gabungan sekitar $100 juta dari semua korban MOVEit yang membayar uang tebusan.
Prediksi Halcyon
Laporan Halcyon Ransomware Malicious Quartile menyoroti aktivitas serangan signifikan dan evolusi TTP (Taktik, Teknik, dan Prosedur) yang dikaitkan dengan aktor ancaman terkemuka. Dalam laporan Q3-2024 terbaru, Direktur Riset Halcyon Anthony Freed telah mengidentifikasi operator yang paling produktif di ruang ransomware dan pemerasan data saat ini sebagai Play, RansomHub, 8Base, Qilin, BlackSuit, dan Hunters International. Menariknya, laporan terbaru oleh perusahaan intelijen ancaman siber yang fokus pada Eurasia, Paranoid Lab, memproyeksikan bahwa 8Base dan RansomHub akan menjadi ancaman terbesar bagi organisasi di Eropa pada 2025.
Selain itu, laporan yang diterbitkan pada Agustus 2024 oleh Cybersecurity & Infrastructure Security Agency (CISA) menyatakan bahwa grup ancaman BlackSuit telah “meminta lebih dari $500 juta USD secara total” dari korban mereka sejak grup ini didirikan pada 2023.
Melihat ke depan ke tahun 2025, Anthony Freed dari Halcyon memprediksi bahwa Sarcoma, Fog, KillSec, dan Meow akan menjadi grup ancaman yang muncul dan perlu diperhatikan. Sarcoma mungkin menjadi grup ancaman yang paling baru, yang muncul pada Oktober 2024. Baru-baru ini, Sarcoma menarik perhatian karena pelanggarannya terhadap sebuah perusahaan logistik Australia, tetapi mereka tampaknya “terlepas dari sedikit loot digital,” menurut laporan berita.
Freed mencatat bahwa Fog RaaS pertama kali muncul pada 2021 dan merupakan varian dari keluarga STOP/DJVU. Grup ini telah menjadi ancaman signifikan dengan enkripsi file dan tuntutan tebusan dalam bentuk Bitcoin. “Awalnya fokus pada organisasi kecil, Fog telah berkembang ke target yang lebih menguntungkan dan profil tinggi, termasuk sektor infrastruktur kritis dan keuangan,” kata Freed. Selain itu, Freed mengatakan bahwa Fog “biasanya mendapatkan akses awal melalui kredensial VPN yang dikompromikan atau sistem yang belum dipatch, mengeksploitasi kerentanannya di berbagai sektor dari keuangan hingga utilitas.”
Berbeda dengan sebagian besar rekan-rekan ransomware-nya, KillSec awalnya muncul sebagai grup hacktivist “yang terkait dengan gerakan Anonymous,” kata Freed. Grup ini secara resmi meluncurkan platform RaaS pada Juni 2024. “Sebelumnya fokus pada perusakan situs web pemerintah, terutama di India, pergeseran KillSec mencerminkan pergeseran yang lebih luas di antara kelompok hacktivist yang menggabungkan taktik kriminal.” Grup ini menargetkan sektor-sektor seperti keuangan, kesehatan, dan pemerintah di AS, Asia Tenggara, Timur Tengah, dan lainnya.
Organisasi RaaS terakhir yang disorot oleh Halcyon sebagai yang perlu diperhatikan pada 2025 adalah Meow. Pertama kali diidentifikasi pada 2022, Meow telah “muncul kembali sebagai ancaman agresif pada 2024, setelah menghilang sebentar pada Maret 2023,” menurut Freed. Freed juga mencatat bahwa grup ini dikaitkan dengan varian ransomware Conti v2, dan mereka telah “menjadi terkenal karena menargetkan industri di Amerika Serikat dengan data yang sangat sensitif, seperti kesehatan dan penelitian medis.”
Freed memberikan saran bahwa tiga TTP teratas yang akan dioperasionalkan oleh grup RaaS pada 2025 meliputi rekayasa sosial—terutama serangan yang difasilitasi oleh skema penyapuan SIM ala Scattered Spider—mengeksploitasi kerentanannya di aplikasi web yang terpapar secara publik, dan brute-forcing layanan akses jarak jauh seperti RDP dan VPN.