Credit image: Freepix
Otomatisasi & AI Rahasia Ransomware Sukses – Kesuksesan kelompok ransomware terus menjadi berita utama, mulai dari laporan pembayaran tebusan yang besar, kerugian finansial, hingga gangguan operasional yang berkepanjangan.
Apa yang membedakan kelompok-kelompok Ransomware-as-a-Service (RaaS) teratas ini? Jawabannya terletak pada tiga pilar utama yang meniru efisiensi bisnis modern.
Keberhasilan dapat diukur dari berbagai faktor, termasuk keuntungan finansial, reputasi merek, waktu downtime korban, dan jumlah afiliasi dalam model RaaS.
Ancaman ini terus berevolusi dengan cepat untuk melawan pertahanan perusahaan, membuat tantangan terbesar bagi para ahli keamanan adalah mengimbangi kecepatan evolusi penyerang.
1. Otomatisasi Kebutuhan Akan Kecepatan
Menurut peneliti, yang mengukur keberhasilan ransomware dari jumlah korban yang dipublikasikan di situs kebocoran data (data leak site) mereka, Qilin dinobatkan sebagai “pemimpin pasar” dan LockBit 5.0 terus mendapatkan daya tarik.
Peneliti menyimpulkan bahwa ada tiga aspek utama yang mendorong kesuksesan kelompok RaaS:
- Otomatisasi (Automation)
- Kustomisasi (Customization)
- Perkakas Canggih (Advanced Tooling)
Otomatisasi adalah komponen paling penting. Para peneliti menemukan bahwa 80% kelompok RaaS yang mereka analisis menggunakan beberapa bentuk otomatisasi dan Kecerdasan Buatan (AI) di platform mereka.
Otomatisasi berkontribusi pada efektivitas mereka dengan meningkatkan kecepatan serangan. Rata-rata waktu pembobolan (breakout time) kini hanya 18 menit, yang berarti tim pertahanan memiliki waktu yang jauh lebih sedikit untuk bereaksi.
|
Baca juga: Jebakan Email Makin Canggih Berkat AI |
Bagaimana Kelompok Ransomware Menggunakan AI?
Meskipun penggunaan AI masih dalam tahap awal, para peretas kini mulai berpikir dalam alur kerja berbasis AI. Mereka mencampurkan otomatisasi dan penargetan berbasis data:
- AI digunakan untuk membuat email phising yang lebih meyakinkan dan bebas kesalahan, meningkatkan tingkat keberhasilan rekayasa sosial.
- AI mempercepat pengintaian dan pemilihan target. Kelompok ransomware dapat menilai postur keuangan dan asuransi korban, serta sensitivitas sektor, untuk menyesuaikan tuntutan pemerasan mereka.
- Kemajuan AI menurunkan hambatan masuk, memungkinkan afiliasi dengan keterampilan lebih rendah untuk melakukan kampanye canggih, memperluas lanskap ransomware secara keseluruhan.
AI yang mendorong otomatisasi sudah mempersingkat waktu pembobolan dan meningkatkan keberhasilan secara keseluruhan.
2. Kustomisasi dan Perkakas Canggih
Dua faktor pendukung kesuksesan lainnya adalah kustomisasi dan perkakas canggih:
Kustomisasi (Customization)
Ditawarkan oleh 60% kelompok RaaS, kustomisasi memungkinkan malware mengubah cara operasinya secara dinamis selama serangan.
-
Kekuatan vs. Kecepatan Enkripsi: Penyerang dapat memprioritaskan kekuatan enkripsi (membuat korban lebih sulit memulihkan data tanpa membayar) atau kecepatan enkripsi (membuat ancaman menyebar lebih cepat ke lebih banyak file sebelum dapat diatasi).
Perkakas Canggih (Advanced Tooling)
Meskipun hanya ditawarkan oleh 50% kelompok RaaS, perkakas ini merupakan risiko signifikan. Kelompok top-tier biasanya menyediakan script yang dapat mem-bypass.
Dan selain itu juga dapat menonaktifkan alat Endpoint Detection and Response (EDR) dan antivirus pada endpoint yang disusupi.
Mereka juga memiliki alat untuk menghapus backup organisasi selama penyebaran ransomware.
|
Baca juga: Kunci Lindungi Web dari Crawler AI Jahat |
Fokus pada Pencurian Data
Sebagian besar kelompok paling menguntungkan kini menggunakan model multi-pemerasan (multi-extortion) yang canggih.
Dalam banyak kasus, para peneliti mengamati bahwa penyerang meninggalkan penggunaan binary ransomware (perangkat lunak enkripsi) sepenuhnya.
Sebaliknya, mereka hanya mengancam untuk mempublikasikan data curian korban dan ini sudah cukup untuk mendapatkan pembayaran.
Contoh: Crimson Collective berfokus mencuri data dari lingkungan cloud AWS hanya untuk pemerasan, sementara Clop menjalankan kampanye pemerasan pencurian data besar-besaran yang terikat pada eksploitasi aplikasi perusahaan tanpa selalu mengandalkan enkripsi data.
Inti dari Operasi RaaS: Model operasi RaaS dirancang untuk kesuksesan. Operator membangun perkakas yang andal, situs kebocoran, dan infrastruktur pembayaran.
Sementara afiliasi berfokus pada penyusupan dan pemerasan. Pembagian kerja ini meningkatkan skala operasi secara besar-besaran.
Hasilnya adalah perusahaan yang dapat diulang dan diskalakan dengan efisiensi perusahaan Software-as-a-Service (SaaS hanya saja berada di sisi hukum yang salah,” kata Tom Hegel.
Strategi Pertahanan di Era RaaS
Meskipun laporan menyoroti geng ransomware paling sukses, perusahaan didesak untuk memfokuskan strategi keamanan pada ekosistem secara keseluruhan serta taktik dan prosedur yang digunakan oleh penyerang, bukan hanya satu kelompok individu.
Tindakan wajib yang harus diambil oleh perusahaan meliputi:
- Terapkan otomatisasi untuk penahanan dan respons insiden agar dapat mengimbangi kecepatan penyerang yang meningkat (waktu breakout 18 menit).
- Terapkan segmentasi jaringan yang ketat untuk membatasi radius ledakan (blast radius) jika terjadi kompromi.
- Kembangkan strategi untuk meningkatkan visibilitas jaringan guna mendeteksi aktivitas mencurigakan di tengah penggunaan perkakas canggih penyerang yang dirancang untuk melewati EDR.
Sumber berita:
