Gawat! Para penjahat digital di balik ransomware as a service Darkside membangun sistem yang akan sulit untuk di take down oleh pihak otoritas keamanan siber
Tekad mereka ini tidak bisa dianggap main-main, pengembang Darkside memang sedang menyiapkan sistem penyimpanan terdistribusi di Iran untuk menyimpan data yang dicuri dari korban serangannya dapat berarti masalah besar bagi organisasi dan perusahaan.
Iran merupakan negara yang untouchables bagi banyak negara untuk bisa masuk atau bekerja sama terkait keamanan siber. Ke depan tentu akan menjadi polemik untuk investigasi dan operasi menghentikan serangan siber berikutnya.
Jika model tersebut terbukti berhasil, operator ransomware lain kemungkinan besar akan menerapkan sistem serupa, sehingga mempersulit untuk mencegah para penjahat dunia maya membocorkan data sensitif perusahaan yang dicuri dalam serangan ransomware.
Server semacam itu di Iran dan negara-negara lain akan lebih sulit ditemukan, diblokir, dan dihentikan karena kurangnya kerja sama dari otoritas lokal. Upaya pencegahan atau menghancurkan kejahatan dunia maya akan semakin sulit dilakukan.
Bahaya sistem terdistribusi
Pada saat yang sama, menyimpan data yang dicuri pada sistem terdistribusi akan memudahkan penjahat dunia maya untuk mengakses data dibandingkan dengan mengunduh file melalui Tor, yang biasanya dilakukan sekarang.
Secara keseluruhan, langkah seperti itu menunjukkan bahwa pengembang ransomware meningkatkan upaya mereka untuk meningkatkan skala operasi mereka dan membentuk ekosistem kompleks yang dirancang untuk menyebabkan kerusakan signifikan pada korban.
Upaya menyiapkan server penyimpanan data ini diketahui dari dua pengumuman baru-baru ini yang diposting oleh operator DarkSide di sebuah blog. Iklan pertama pada 11 November memproklamasikan rencana oleh grup DarkSide untuk membuat sistem penyimpanan terdistribusi yang dapat digunakan oleh pelanggan (atau disebut afiliasi) layanan ransomware untuk menyimpan data yang dicuri dari korban.
“Kami sedang mengerjakan sistem penyimpanan berkelanjutan untuk data Anda,” kata iklan itu.
“Semua data Anda akan direplikasi di antara beberapa server, memblokir satu server tidak akan menghapus data.” Iklan tersebut menjamin afiliasi bahwa data yang dicuri akan disimpan minimal selama enam bulan.
Dalam konteks ini, afiliasi adalah kelompok kriminal yang menggunakan penawaran RaaS seperti DarkSide untuk menargetkan organisasi atau perusahaan, meluncurkan serangan, dan mengekstrak uang dari korban. Sebagai pengembang layanan, operator seperti DarkSide dapat menghemat banyak uang tebusan.
Postingan DarkSide manyatakan bahwa sistem penyimpanan sedang disiapkan sebagai respons atas upaya baru-baru ini oleh vendor keamanan dan penegak hukum untuk menghapus situs yang sering dibuat oleh operator ransomware untuk membocorkan data milik korban yang menolak membayar uang tebusan yang diminta.
Dalam beberapa bulan terakhir, banyak grup ransomware telah mencuri data penting dari korban sebelum mengenkripsinya, dan kemudian mengancam akan merilis data tersebut secara publik melalui situs yang disiapkan secara eksplisit untuk tujuan tersebut kecuali uang tebusan dibayarkan.
Dan situs-situs ini dirontokkan oleh para otoritas keamanan dibantu oleh para pakar keamanan siber. Seperti ESET yang belum lama juga terlibat dalam upaya menghentikan Trickbot.
DarkSide melihat situasi ini lantas mengklaim secara khusus akan menggunakan server penyimpanan terdistribusi di Iran dan “republik yang tidak dikenal” sehingga infrastruktur tidak dapat dengan mudah diturunkan. Sebuah “sistem otomatis” akan mengarahkan penjahat yang tertarik membeli data curian ke server tertentu yang akan tersedia untuk diunduh.
Ini adalah pertama kalinya operator ransomware mengumumkan secara terbuka bahwa mereka mengembangkan sistem penyimpanan terdistribusi untuk file yang dicuri.
Berdasarkan informasi yang tersedia, tidak jelas seberapa besar sistem penyimpanan terdistribusi yang diusulkan DarkSide nantinya. Tetapi kelompok tersebut memiliki kekuatan finansial untuk membuat kesepakatan besar dengan penyedia hosting yang mungkin memiliki akses ke infrastruktur Iran.
Pada dasarnya apa yang pengembang DarkSide nyatakan, sistem penyimpanan terdistribusi yang direncanakan dimaksudkan untuk menyimpan data yang hanya dimiliki oleh korban DarkSide.
Sejauh ini, tidak ada indikasi bahwa mereka bermaksud untuk memberikan akses ke sistem mereka kepada geng ransomware lain. Meski demikian, cara ini dapat diduplikasi oleh kelompok ransomware lain dan yang menakutkan bila menjadi tren di kalangan geng ransomware.