Image credit: Freepix
DragonForce Jadi Kartel Ransomware – Peneliti keamanan baru-baru ini melakukan analisis mendalam terhadap ransomware DragonForce, yang pertama kali muncul pada tahun 2023.
Kelompok ini telah berevolusi menjadi apa yang disebut sebagai “kartel ransomware”, menandai perubahan besar dalam lanskap kejahatan siber global.
Varian terbaru DragonForce semakin canggih. Ia memanfaatkan driver rentan seperti truesight.sys dan rentdrv2.sys untuk:
- Melumpuhkan program keamanan.
- Menghentikan proses yang dilindungi.
- Memperbaiki kerentanan enkripsi yang sebelumnya terkait dengan ransomware Akira.
Evolusi teknis ini menunjukkan komitmen DragonForce untuk terus meningkatkan kemampuan mereka.
Kelompok ini telah mengintensifkan operasinya terhadap organisasi di seluruh dunia, bahkan mempublikasikan lebih banyak entitas yang terkompromi dibandingkan tahun sebelumnya.
|
Baca juga: Kartelisasi Hacker |
DragonForce Dari Grup Menjadi Kartel
DragonForce beroperasi sebagai model Ransomware-as-a-Service (RaaS), yaitu menyediakan tool dan infrastruktur ransomware yang dapat disewa oleh pihak ketiga (affiliate).
- Awal Mula: Pada awalnya, geng ini menggunakan builder LockBit 3.0 yang bocor untuk membuat tool enkripsi mereka, dan kemudian beralih ke kode sumber Conti v3 yang sudah dimodifikasi.
- Transformasi Kartel: Pada tahun 2025, DragonForce rebranding diri sebagai “kartel ransomware,” menandai pergeseran strategi operasional. Dengan menawarkan 80% dari keuntungan kepada affiliate, serta encryptor dan infrastruktur yang dapat disesuaikan, DragonForce menurunkan hambatan masuk bagi penjahat siber baru atau yang kurang berpengalaman. Langkah ini mendorong lebih banyak affiliate untuk bergabung dan memperluas kehadirannya secara global.
Aliansi Berbahaya DragonForce dan Scattered Spider
Kompromi paling menonjol DragonForce, yang melibatkan perusahaan ritel Marks & Spencer, dilakukan melalui kemitraan dengan kolektif hacker Scattered Spider. Aliansi strategis ini terbukti sangat efektif untuk menyebarkan ransomware pada target bernilai tinggi.
Scattered Spider dikenal sebagai aktor ancaman yang dimotivasi secara finansial dan berspesialisasi dalam rekayasa sosial (social engineering) yang sangat canggih untuk mendapatkan akses awal ke jaringan.
Taktik Serangan Scattered Spider
- Pengintaian (Reconnaissance): Scattered Spider memulai intrusi dengan mengumpulkan informasi publik (OSINT) tentang staf organisasi dari media sosial untuk mengidentifikasi target potensial dan membangun persona (pretext) yang meyakinkan.
- Penipuan Akses: Mereka menggunakan taktik rekayasa sosial tingkat lanjut untuk mendapatkan atau mengatur ulang kredensial dan melewati autentikasi multi-faktor (MFA) melalui taktik penipuan seperti:
- MFA Fatigue: Membanjiri perangkat korban dengan permintaan otentikasi MFA hingga korban lelah dan menyetujui salah satu permintaan secara tidak sadar.
- SIM Swapping: Mengambil alih nomor telepon korban.
- Akses dan Persistensi: Setelah akses awal didapatkan, Scattered Spider masuk sebagai pengguna yang disusupi dan mendaftarkan perangkat mereka sendiri untuk mempertahankan akses. Mereka kemudian menanamkan tool pemantauan dan manajemen jarak jauh (Remote Monitoring and Management / RMM) seperti ScreenConnect, AnyDesk, atau TeamViewer.
- Eksfiltrasi Data: Setelah berada di dalam jaringan, Scattered Spider melakukan pengintaian mendalam, menargetkan server backup, repository kredensial, dan konfigurasi VPN. Data yang berhasil dikumpulkan kemudian disatukan dan dieksfiltrasi ke layanan penyimpanan milik penyerang (seperti MEGA atau Amazon S3).
Operasi ini diakhiri dengan penempatan ransomware DragonForce, mengenkripsi data di lingkungan Windows, Linux, dan ESXi.
|
Baca juga: Grup Peretas yang Disponsori Negara Paling Berbahaya di Dunia |
Menghadapi “Kartelisasi” Kejahatan Siber
Aliansi strategis antara DragonForce dan Scattered Spider secara signifikan meningkatkan lanskap ancaman. Model kerja sama ini dibandingkan dengan model persaingan murni menciptakan operasi kriminal yang jauh lebih efisien dan adaptif.
Ini adalah panggilan bangun bagi profesional keamanan siber, karena serangan bukan lagi ancaman entitas tunggal, melainkan intrusi multi-tahap yang terkoordinasi, menggunakan tool dan teknik terbaik dari ekosistem musuh siber yang terspesialisasi.
Rekomendasi Pertahanan
- Perkuat MFA yang Kebal Phising: Terapkan dan tegakkan metode autentikasi multi-faktor (MFA) yang tahan phising (seperti kunci keamanan fisik atau biometric verification). Ini akan menetralkan vektor akses awal utama Scattered Spider, yang sangat bergantung pada kecerobohan manusia.
- Solusi EDR yang Kuat: Fokus pada solusi deteksi dan respons endpoint (Endpoint Detection and Response / EDR) yang kuat. EDR harus dapat segera memberi peringatan saat tool pemantauan jarak jauh (RMM) dikerahkan atau ketika driver yang rentan digunakan, ini adalah indikasi teknis bahwa initial access broker telah menyerahkan akses kepada affiliate ransomware.
- Antisipasi Serangan Berkolaborasi: Tim keamanan harus mengantisipasi bahwa serangan modern adalah intrusi multi-tahap yang terkoordinasi, bukan ancaman tunggal. Pertahanan harus mencakup mengatasi model kolaboratif ransomware ini secara langsung.
Sumber berita:
