Membongkar Sisi Bisnis Geng Ransomware

Membongkar Sisi Bisnis Geng Ransomware – Pada Maret 2024, sebuah insiden di forum kejahatan siber membuka tabir gelap dunia ransomware.

Seorang afiliasi dari geng BlackCat mengajukan keluhan resmi karena tidak mendapatkan bagian dari tebusan sebesar US$22 juta hasil serangan terhadap Change Healthcare.

Operator BlackCat melarikan uang tersebut dan memasang pengumuman penyitaan FBI palsu di situs mereka untuk menutupi aksi bawa lari uang tersebut.

Jika kita menanggalkan elemen kriminalnya, kejadian ini sangat mirip dengan perselisihan antara kontraktor dan pemberi kerja. Di baliknya terdapat pengaturan bisnis yang lengkap seperti:

Rantai pasok.
Penetapan harga.
Kompetisi.
Pelanggan

Yang mengharapkan nilai dari uang mereka. Inilah realitas ransomware hari ini: sebuah industri yang terorganisir, bukan sekadar peretasan acak.

Baca juga: Nafas Panjang Ransomware

Waralaba Kejahatan

Di balik etalase ransomware, terdapat operasi yang menyerupai waralaba atau gig economy. Industri ini dirancang agar setiap peserta hanya perlu kompeten di fungsi yang sempit.

Pengembang platform tidak perlu menyentuh sistem korban; mereka hanya menyediakan alat dan merek. Afiliasi membayar biaya akses menggunakan kredensial yang dipanen oleh broker akses awal (initial access brokers).

Struktur ini memicu volume serangan yang masif. Data deteksi ESET menunjukkan kenaikan ransomware sebesar 13% pada paruh kedua tahun 2025, menyusul kenaikan 30% di paruh pertama tahun yang sama.

Laporan Investigasi Pelanggaran Data (DBIR) 2025 mencatat lonjakan pangsa pelanggaran yang melibatkan ransomware dari 32% menjadi 44%.

Menariknya, nilai median tebusan justru turun dari US115.000menjadiUS115.000. Strateginya jelas, mengejar volume dengan menargetkan organisasi kecil yang memiliki pertahanan kurang matang.

Dinamika Pasar dan Efek Red Queen

Industri ransomware hidup dari kepercayaan antar pesertanya. Meskipun penegak hukum sering melakukan disrupsi, pasar ini tetap resilien.

Ketika kelompok besar seperti LockBit atau BlackCat tumbang, para afiliasi segera berpindah ke platform lain seperti RansomHub, Akira, atau Qilin. Kompetisi antar kelompok justru berfungsi sebagai proses seleksi alam yang membuang pemain lemah.

Dalam biologi, terdapat konsep yang disebut Efek Red Queen, di mana spesies harus terus beradaptasi hanya untuk mempertahankan posisinya.

Dinamika ini terjadi antara pengembang alat pertahanan (EDR/XDR) dan pembuat “alat anti-pertahanan”. Saat produk keamanan menjadi lebih baik, kriminal merespons dengan membangun pasar gelap untuk alat penghancur antivirus atau EDR Killers.

Peneliti ESET saat ini melacak hampir 90 EDR Killers yang aktif digunakan. Mayoritas menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD).

Yaitu memuat driver legal namun rentan ke mesin target untuk mendapatkan hak akses tingkat kernel guna mematikan produk keamanan. Alat-alat ini dijual dengan sistem langganan yang mencakup layanan obfuskasi berbasis AI agar tetap selangkah di depan deteksi.

Baca juga: 3 Fase Serangan Ransomware

Infiltrasi AI dan Masa Depan Vibeware

Kehadiran AI telah menurunkan hambatan masuk ke ekonomi kejahatan siber. Peneliti mencurigai AI telah membantu pengembangan beberapa EDR Killers, seperti yang digunakan oleh geng Warlock.

Bahkan, para ahli telah mendokumentasikan fenomena yang disebut vibeware, malware berbantuan AI yang diproduksi dalam volume massal dengan kode sekali pakai, berharap beberapa di antaranya berhasil menembus pertahanan melalui kuantitas, bukan kualitas serangan.

Di tahun 2026 ini, fokus ransomware telah bergeser sepenuhnya dari sekadar mengunci file menjadi “pencurian data dan pemerasan” (data theft and extortion).

Penyerang mencuri data sensitif terlebih dahulu sebelum mengenkripsinya, lalu mengancam akan mempublikasikannya di situs bocoran (leak sites) jika tebusan tidak dibayar.

Menavigasi Peta Kejahatan Terorganisir

Memandang ransomware hanya sebagai serangan teknis akan menghasilkan pertahanan yang bersifat reaktif. Namun, dengan membedah ransomware sebagai sebuah industri, prioritas pertahanan organisasi akan bergeser ke arah yang lebih strategis.

Pemimpin keamanan siber tidak lagi hanya bertanya “apakah kita aman?”, melainkan harus mampu menjawab tantangan yang lebih spesifik, bagaimana tumpukan keamanan kita merespons teknik BYOVD yang sedang tren? Sejauh mana visibilitas kita terhadap risiko yang dibawa oleh vendor dalam rantai pasok?

Meskipun kita tidak bisa memprediksi secara pasti siapa aktor yang akan mengetuk pintu digital kita besok, kita bisa memahami peta jalan yang mereka gunakan untuk sampai ke sana.

Mengetahui alat apa yang sedang mereka beli di pasar gelap dan bagaimana sistem “waralaba” mereka beroperasi memberikan keunggulan taktis bagi tim pertahanan.

Pada akhirnya, resiliensi siber di tahun 2026 bukan tentang menghentikan industri kejahatan ini secara total, melainkan tentang memastikan organisasi Anda menjadi target yang terlalu mahal dan terlalu rumit untuk mereka “proses” di lini produksi mereka.

Baca juga: