Credit image: Pixabay
Paruh kedua 2021 penuh dengan drama ransomware, termasuk serangan terhadap infrastruktur penting dan penyedia TI besar, keterlibatan beberapa politisi kuat di dunia, rilis kunci dekripsi utama, rebranding dan/atau matinya beberapa geng ransomware terkenal, serta munculnya pemain baru.
Pada tanggal 8 Mei, serangan ransomware oleh geng Darkside memaksa Colonial Pipeline, perusahaan pipa terbesar di AS menutup operasinya, menyebabkan pompa bensin mengalami masalah suply dan mendorong pernyataan keadaan darurat oleh Presiden AS Joe Biden. Pada akhirnya, manajemen pipeline memutuskan untuk membayar tebusan 75 bitcoin atau lebih dari USD 4 juta pada saat itu, yang sebagiannya (63,7 bitcoin) telah disita dan dikembalikan oleh otoritas AS tak lama setelah transfer.
Serangan itu juga menarik perhatian badan penegak hukum dan membangun tekanan pada geng Darkside, yang anggotanya kemudian mengeluarkan pernyataan bahwa mereka ingin menghasilkan uang, bukan menciptakan masalah bagi masyarakat.
Seminggu setelah insiden itu, kelompok tersebut mengumumkan penutupan seluruh operasi. Namun, berdasarkan kesamaan antara DarkSide dan keluarga barunya, BlackMatter, para ahli ESET menyakini bahwa geng itu tidak menghilang, hanya mengubah namanya sendiri.
Deteksi ransomware ESET menunjukkan terjadinya beberapa peningkatan penting, yang mencerminkan peningkatan aktivitas kejahatan dunia maya pada semester 2 2021. Kenaikan besar pertama terjadi pada 12 Juni, dengan 85% dari deteksi hari itu disebabkan oleh Win32/Sodinokibi.B yang mencoba untuk berkompromi dengan sebagian besar pengguna di Amerika Serikat.
Lonjakan besar lainnya yang dikaitkan dengan geng Sodinokibi (REvil) atau afiliasinya muncul di radar ESET pada 3 Juli. Para pelaku menggunakan varian Win32/Sodinokibi.N, dengan aktivitas mereka di Inggris Raya dan Afrika Selatan mencapai 75% dari semua deteksi ransomware pada hari itu.
Serangan itu mengeksploitasi kerentanan zero-day di perangkat lunak manajemen TI Kaseya, Virtual System Administrator (VSA) yang menyebabkan kompromi ransomware hingga 1.500 perusahaan di seluruh dunia dan ultimatum tebusan USD 70 juta, permintaan tertinggi hingga saat ini.
Sekali lagi, menyusul peningkatan aktivitas otoritas AS, Sodinokibi menghilang dan situs webnya dihapus. Beberapa minggu kemudian, Kaseya mengumumkan bahwa mereka memperoleh decryptor dari “pihak ketiga tepercaya”, yang diduga tanpa membayar uang tebusan.
Lonjakan besar terakhir pada data ransomware ESET semester kedua 2021 terjadi pada 23 Agustus dan sebagian besar disebabkan oleh dua deteksi: MSIL/Filecoder.FU yang menyumbang 33% dari semua hit yang dilaporkan hari itu dan ditujukan ke Peru; deteksi kedua adalah Win32/BlackMatter.C, mewakili 36% hit dan ditujukan pada target di Amerika Serikat.
BlackMatter adalah salah satu dari beberapa geng baru yang muncul di kancah ransomware di semester kedua 2021. Berdasarkan kesamaan kode, pembayaran, dan operasional, tampaknya kelompok ini adalah penerus DarkSide, Sodinokibi/REvil atau keduanya. Operator sendiri mengatakan mereka menggunakan fitur keduanya dan LockBit tetapi menolak koneksi langsung ke grup lain mana pun.
Pendatang baru lain yang menarik adalah Lorenz. Tidak seperti gerombolan kriminal lainnya, kelompok ini menawarkan data curian korban kepada pelaku ancaman dan pesaing lainnya, melepaskan data satu arsip RAR yang dilindungi kata sandi pada satu waktu. Jika tebusan tidak dibayarkan, Lorenz merilis kata sandi, membuat data tersedia untuk siapa saja.
Pelaku juga menjual akses ke jaringan korban mereka. Namun, Aktivitas Lorenz menurun dari waktu ke waktu dan ada decryptor untuk beberapa korban sebelumnya.
Nama baru lainnya di peta adalah DarkRadiation, dengan fokus pada OS Linux dan Docker. DoppelPaymer berganti nama menjadi Grief dan mendesain ulang situs kebocoran mereka. SynAck berganti nama menjadi El_Cometa. Seorang pemula yang menarik bernama Diavol memiliki daya tarik yang berbeda. Para peneliti dari berbagai perusahaan menemukan koneksi ke pengembang TrickBot, keluarga botnet terkenal, yang semakin menyebarkan Diavol di alam liar.
Tapi empat bulan terakhir tidak semuanya buruk. Ragnarok dan Avaddon, keduanya geng yang sebelumnya terkenal, telah menutup toko mereka dan merilis kunci dekripsi. Rebranding SynAck juga disertai dengan pelepasan kunci dekripsi utama, yang memungkinkan ESET dan perusahaan lain untuk membuat alat dekripsi gratis. Dan penegak hukum Ukraina mencetak gol lagi, ketika menangkap enam penjahat dunia maya yang terhubung dengan ransomware Cl0p.
Ada juga kasus di mana ransomware baru saja menutup toko tanpa melepaskan kunci dekripsi. Itu berlaku untuk QLocker yang menargetkan kerentanan terbaru di perangkat QNAP NAS. Geng Babuk juga menyebutnya berhenti tanpa melepaskan kuncinya tetapi memutuskan untuk menerbitkan kode sumber malware sebagai gantinya, sebuah langkah yang mereka sebut “Open Source RaaS”.
Dari segi uang, semester kedua 2021 terlihat tebusan berbayar tertinggi yang diketahui saat CNA Financial membayar USD 40 juta kepada operator di belakang Phoenix Locker, varian dari ransomware Hades.
Inisiatif No More Ransom di mana ESET adalah mitra merayakan lima tahun keberadaannya dan mengumumkan bahwa kegiatannya telah membantu lebih dari 6 juta korban ransomware, menghemat pembayaran hampir EUR 1 miliar. Layanan baru https://ransomwhe.re/ juga mulai melacak pembayaran aktif.
Di 10 besar, Win/Filecoder.WannaCryptor tetap menjadi raja, mengalahkan MSIL/Filecoder dengan 10 poin persentase. Ancaman yang tampaknya tak lekang oleh waktu ini masih mengintai di alam liar, memburu mesin yang rentan terhadap eksploitasi EternalBlue. Berdasarkan deteksi ESET WannaCryptor, ini paling sering ditemukan di India, Indonesia, Thailand, Cina, dan Kolombia.
10 teratas ini mencerminkan beberapa serangan oleh tiga keluarga ransomware yang dijalankan oleh manusia, yaitu Win/Filecoder.Sodinokibi yang berada di urutan keempat dengan 8,4%, Win/Filecoder.Phobos di tempat keenam dengan 3,1% dan Win/Filecoder.Conti di delapan dengan 2,4%. Win/Filecoder.STOP, yang menghilang dari 10 besar di semester 1 2021, kembali mendarat di posisi kelima dengan 8,2%.
Dikemas sebagai bagian dari penginstal untuk game, satu-satunya pendatang baru di semester 2 2021 adalah Win/LockScreen. Keluarga ini tidak umum karena dua alasan: Pertama, hanya sebagian kecil ransomware yang memblokir layar korban tetapi tidak mengenkripsi atau mencuri data mereka dan kedua, 55% hit Win/LockScreen terlihat di Rusia, negara yang biasanya dikecualikan dari daftar target.
