Setelah serangan siber Colonial Pipeline, JBS, dan Kaseya, kelompok ransomware dilarang dari forum cybercriminal. Beberapa dari mereka bahkan mulai menghilang, tetapi itu tidak berarti mereka mundur. Yang ada, mereka menjadi lebih berbahaya.
Mereka tidak takut dengan siapa yang mereka targetkan. Keuntungan yang lebih besar daripada risikonya saat ini, sehingga ini memastikan bahwa ransomware tidak akan kemana-mana dalam waktu dekat.
Forum cybercriminal larang ransomware
Mimpi buruk ransomware mutlak dimulai pada tahun 2019, ketika sejak kelompok ransomware Maze memperkenalkan taktik pemerasan ganda atau double extortion.
Gelombang kelompok ransomware mulai mengikuti tren ini. Pada tahun 2019, perusahaan belajar cara mengurangi ancaman ransomware sampai batas tertentu, menggunakan pencadangan data dan menyimpannya dengan aman, menjadikannya offline. Secara alami, penjahat dunia maya berinovasi dan mengadopsi taktik pemerasan ganda.
Sejak 2019, beberapa situs kebocoran data telah muncul, seperti situs ransomware Maze, Happy Blog yang dioperasikan oleh Sodinokibi (REvil), Conti News, dan Babu Locker. Lebih dari 2.600 korban telah disebutkan namanya ke situs kebocoran data sejak tren dimulai, dan 740 korban berbeda disebutkan hanya pada Q2 2021 saja.
Sementara di forum bawah tanah, ada gerakan melarang ransomware, tidak hanya melarang penjualan afiliasi atau malware apa pun yang terkait dengan ransomware, tetapi juga mendiskusikannya. Entah apa motif dibalik larangan tersebut tapi sepertinya persaingan bisnis di dunia hitam terjadi sangat sengit
Karena XSS dan Exploit, di antara forum lainnya melarang geng ransomware, mereka pindah ke saluran media sosial, seperti Telegram, untuk membahas bisnis ransomware. Pelaku Ransomware dilarang di forum setelah serangan cyber terkenal di Colonial Pipeline, pemasok daging JBS, dan Kaseya.
Aktor ransomware teratas untuk paruh pertama tahun 2021 adalah Conti, Avaddon, PYSA, REvil, DarkSide, Babuk Locker, DoppelPaymer, dan Cl0p.
Ada juga beberapa pemula seperti Prometheus, LV, dan 15 grup lainnya, meningkatkan aktivitas di kuartal kedua tahun ini.
Anda berada di tempat yang buruk jika berada di sektor barang industri, di Konstruksi, Ritel, Teknologi, dan Perawatan Kesehatan. Wilayah yang paling banyak ditargetkan dari bulan ke bulan adalah AS, diikuti oleh sebagian dari Eropa dan sebagian besar Asia dan beberapa lainnya.
Meskipun beberapa dari mereka mungkin telah menghilang, itu tidak berarti mereka tidak akan menyerang lagi dengan nama yang berbeda.
Ransomware Conti yang stabil
Conti mulai beroperasi pada akhir 2019, dan menjalankan situs kebocoran data Conti.News. Grup ini mendapatkan akses awal melalui kredensial RDP yang dicuri, email phising dengan lampiran berbahaya.
Mereka lebih seperti serangan rendah dan lambat, lebih mirip dengan serangan negara-bangsa dengan cara itu. Mereka belum tentu sangat berisik. Mereka lebih merupakan serangan yang dioperasikan manusia versus beberapa yang otomatis yang ada di luar sana, ”kata Nikkel.
Geng Conti mirip dengan hacker yang disponsori oleh negara, mereka mengerjakan pekerjaan rumah mereka dan memilih target mereka dengan hati-hati. Grup berusaha menemukan pembeli untuk data sebelum diposting di situs.
Mereka sering menargetkan mesin tertentu dalam jaringan. Mereka akan melakukan pengintaian dan mencari tahu di mana target bayaran tinggi dan bernilai tinggi berada dalam jaringan dan mengejarnya. Mereka sangat ditargetkan, dan mereka tahu apa yang mereka cari.
Conti telah diamati berada di jaringan selama beberapa hari bahkan berminggu-minggu sebelum benar-benar meluncurkan ransomware.
Yang membuat Conti sedikit lebih menakutkan, mereka juga menggunakan alat yang sudah tersedia di jaringan. Ini bisa menjadi banyak alat khusus dalam sistem korban, hal-hal seperti itu yang sudah ada dan akan berbaur dengan banyak gangguan yang sudah ada di jaringan.
DarkSide
DarkSide mulai beroperasi pada Agustus 2020 dan menjadi terkenal sekitar Q3-Q4 2020. Mereka mencari perusahaan yang mampu membayar.
Operasi terbesar DarkSide adalah Colonial Pipeline pada Mei 2021. Setelah insiden itu, penegak hukum menghapus blog mereka, situs pengumpulan tebusan, dan melanggar infrastruktur data, dana yang dihimpun setidaknya $2 juta. DarkSide mengumumkan berhenti pada 13 Mei 2021.
Insiden Colonial Pipeline adalah ujung tombak untuk perubahan signifikan pada kelompok ransomware. Pemerintahan Biden mengeluarkan perintah eksekutif dalam upaya untuk mengatasi ransomware. Juga, ia mengklaim, ransomware dilarang di forum cybercriminal.
Tapi hanya sebulan berlalu, dan geng ransomware lain, grup REvil mengejar JBS. Sebulan kemudian, Kaseya dipukul. JBS membayar $11 Juta untuk menyelesaikan serangan ransomware. Sepertinya mereka tidak takut dengan siapa yang mereka targetkan sekarang.
Kelompok ransomware sekarang juga tampaknya memahami PR. Pada bulan Januari, DarkSide mengumumkan bahwa mereka tidak akan menyerang kamar mayat, rumah duka, dan institusi kesehatan yang terlibat dengan vaksinasi COVID.
REvil
REvil diyakini telah menggantikan GandCrab pada 2019. Sebelum dilarang, mereka diiklankan di forum XSS dan Exploit. Revil bertanggung jawab atas serangan JBS dan Kaseya, dengan hit besar pertama mereka menargetkan firma hukum GSMS.
Firma hukum ini mewakili banyak selebritas seperti di antaranya Donald Trump, beberapa penyanyi seperti Lady Gaga dan Madonna, dan beberapa selebritas papan atas lainnya.
Mereka mengancam akan memeras data, firma hukum menolak, dan kemudian mereka mulai menerbitkannya secara perlahan, dokumen berbeda untuk menunjukkan bahwa mereka memang memiliki akses ke banyak hal.
Adapun serangan JBS dan Kaseya, mereka adalah beberapa tebusan terbesar yang pernah didokumentasikan.
Setelah serangan JBS, ada wawancara dengan perwakilan dari REvil yang mengatakan bahwa mereka tidak peduli dengan sanksi, undang-undang dan pedoman yang lebih ketat, dan hal-hal yang keluar melalui komunitas penegak hukum.
Grup menghilang pada Juli 2021.
Rebranding
Banyak dari grup-grup ini telah berganti nama. Mereka melakukan hal yang sama tetapi dengan nama baru.
Misalnya, DarkSide dan REvil membentuk grup ransomware BlackMatter, Avaddon menjadi Haron, DoppelPaymer sekarang Duka, dan SynAck sekarang El Cometa.
Begitu banyak kelompok ransomware berganti nama pada waktu yang sama Juli ini. Bisa dibayangkan bahwa semua kelompok baru ini mengerikan, mereka pasti berupaya untuk membangun diri mereka sendiri dan berpotensi meningkatkan penargetan, aktivitas, dan meningkatkan tingkat serangan terhadap organisasi yang lebih besar sehingga dapat mengangkat nama mereka.
Yang perlu ditekankan di sini sekali lagi, bahwa operator ransomware tidak takut dengan siapa yang mereka targetkan. Yang harus mereka lakukan adalah mengubah nama mereka, kembali dengan situs web baru dan mulai bekerja lagi.
