Credit image: Freepix
Kartel Siber Baru Luncurkan Extortion as a Service – Di tengah meningkatnya kejahatan siber, muncul sebuah aliansi baru yang sangat berbahaya.
Tiga kelompok cybercrime terkenal yakni Scattered Spider, LAPSUS$, dan ShinyHunters telah bersatu dan membentuk kolektif yang disebut Scattered LAPSUS$ Hunters (SLH).
SLH tidak hanya mencuri data, tetapi juga mengadopsi taktik yang menyerupai aktivisme hacker (hacktivism) sambil beroperasi layaknya sebuah perusahaan.
Ini menandai tren baru dalam dunia cybercrime, kartelisasi ancaman.
Dari Chaos Menjadi Pusat Operasi
Sejak kemunculannya pada awal Agustus 2025, SLH telah meluncurkan serangan pemerasan data (data extortion) yang menyasar banyak organisasi, termasuk yang menggunakan platform seperti Salesforce.
- Para peneliti mencatat bahwa sejak debutnya, kelompok ini telah membuat dan membuat ulang setidaknya 16 saluran Telegram di bawah berbagai nama. Meskipun platform melakukan moderasi, kegigihan mereka menunjukkan tekad kuat untuk mempertahankan kehadiran publik yang berfungsi sebagai “megafon” untuk menyebarkan pesan dan memasarkan layanan mereka.
- Seiring waktu, postingan administrasi mereka mulai mencantumkan tanda tangan yang merujuk pada ‘SLH/SLSH Operations Centre’. Label ini, meskipun buatan sendiri, memberikan kesan memiliki struktur komando yang terorganisir, memberikan legitimasi birokrasi pada komunikasi mereka yang terfragmentasi.
- SLH menawarkan model Extortion-as-a-Service, yang memungkinkan afiliasi lain bergabung. Afiliasi dapat menuntut pembayaran dari target dengan imbalan menggunakan “merek” dan ketenaran entitas gabungan ini.
Jaringan Bawah Tanah The Com
Ketiga kelompok utama ini, Scattered Spider, LAPSUS$ dan ShinyHunters dinilai berafiliasi dengan jaringan kejahatan siber yang longgar dan terfederasi, yang disebut The Com.
Jaringan ini ditandai dengan kolaborasi yang cair (fluid collaboration) dan berbagi merek (brand-sharing) dalam mendukung serangan.
Di antara anggota dan identitas yang membentuk SLH adalah:
- Shinycorp (alias sp1d3rhunters): Bertindak sebagai koordinator dan mengelola citra merek.
- UNC5537: Terkait dengan operasi pemerasan data Snowflake.
- UNC3944: Terkait dengan Scattered Spider.
- yuka (alias Yukari atau Cvsp): Dikenal karena mengembangkan exploit dan berperan sebagai Initial Access Broker (IAB), yaitu pihak yang menjual akses awal ke jaringan korban.
Taktik Hacktivist dan Uang
Kelompok ini menggunakan Telegram bukan hanya untuk koordinasi, tetapi juga untuk melakukan perang naratif.
Mereka mengundang pengikut saluran untuk berpartisipasi dalam kampanye tekanan, seperti mencari alamat email para eksekutif tingkat C (C-suite) perusahaan target dan membombardir mereka dengan email, dengan imbalan bayaran minimum $100.
Meskipun fokus utama mereka adalah pencurian data dan pemerasan, SLH juga mengisyaratkan pengembangan keluarga ransomware kustom bernama Sh1nySp1d3.
Yang diharapkan dapat menyaingi grup besar seperti LockBit, mengindikasikan potensi operasi ransomware di masa depan.
|
Baca juga: Mengapa Kaum Muda Lebih Rentan terhadap Ancaman Siber |
Fenomena Kartelisasi Ransomware
Aliansi SLH ini hanyalah salah satu contoh dari tren yang lebih besar, kartelisasi di dunia cybercrime. Kelompok ransomware DragonForce, misalnya, telah meluncurkan kartel ransomware tahun ini dan bermitra dengan Qilin dan LockBit.
Tujuan dari kemitraan ini adalah untuk:
- Berbagi Teknik dan Sumber Daya: Memfasilitasi pertukaran teknik, sumber daya, dan infrastruktur.
- Menurunkan Hambatan Teknis: Afiliasi dapat menyebarkan malware mereka sendiri sambil menggunakan infrastruktur DragonForce dan beroperasi di bawah merek mereka sendiri. Ini memungkinkan kelompok yang baru muncul pun dapat menjalankan operasi tanpa harus membangun ekosistem ransomware yang lengkap.
Peran Scattered Spider dan Taktik BYOVD
Scattered Spider juga memiliki hubungan afiliasi dengan DragonForce. Mereka berfungsi sebagai afiliasi yang menggunakan teknik rekayasa sosial canggih seperti spear-phishing dan vishing (penipuan suara) untuk membobol target.
Salah satu taktik paling berbahaya yang digunakan oleh malware DragonForce adalah serangan BYOVD (Bring Your Own Vulnerable Driver).
Dalam serangan ini, malware DragonForce melepaskan varian baru yang menggunakan driver yang rentan (truesight.sys dan rentdrv2.sys) untuk menonaktifkan perangkat lunak keamanan dan menghentikan proses yang dilindungi sebelum serangan ransomware utama diluncurkan.
Para peneliti menyimpulkan bahwa perilaku ini menunjukkan struktur operasional yang menggabungkan rekayasa sosial, pengembangan exploit.
Dan peperangan naratif campuran yang lebih khas dari aktor underground yang mapan daripada pendatang baru yang oportunis. Kekuatan mereka terletak pada memanipulasi persepsi dan legitimasi di dalam ekosistem cybercrime.
Sumber berita:
