Pelaku di balik serangan besar terhadap layanan pemerintah Indonesia hanyalah salah satu manifestasi dari operasi yang menggunakan setidaknya tiga nama lain. Mari kita bahas mengenai ragam wajah Brain Cipher yang menyerang Indonesia.
Pada tanggal 20 Juni, operasi ransomware yang dikenal sebagai “Brain Cipher” berhasil menghancurkan pusat data nasional Indonesia.
Antrean panjang selama berjam-jam mulai terbentuk di seluruh negara terbesar keempat di dunia ini saat penumpang feri menunggu sistem pemesanan kembali online, dan kedatangan internasional terhenti di kios verifikasi paspor.
Dampaknya terasa di lebih dari 200 lembaga pemerintah nasional dan daerah secara keseluruhan. Di bawah tekanan dan tanpa janji pembayaran, kelompok itu membatalkan permintaan tebusan sebesar $8 juta, menerbitkan dekripsinya secara gratis.
Peneliti dari Group-IB sejak itu mempelajari Brain Cipher dan menemukan bahwa itu terkait dengan setidaknya tiga kelompok lain, atau mungkin hanya beroperasi dengan empat nama yang berbeda. Bersama-sama, entitas dengan berbagai nama ini telah melakukan serangan di seluruh dunia, tetapi seringkali tanpa banyak konsekuensi.
Di bawah ini kita akan membahas lebih detil mengenai ragam wajah Brain Cipher yang menyerang Indonesia.
Baca juga: Panduan Singkat Ransomware |
LockBit 3.0 dan Brain Cipher
Bukti keberadaan Brain Cipher hanya berasal dari serangannya terhadap pemerintah Indonesia. Meskipun masih sangat muda, malware ini telah menyebar ke Israel, Afrika Selatan, Filipina, Portugal, dan Thailand. Namun, hal ini belum tentu menjadi bukti kecanggihan malware ini.
Malware yang digunakannya didasarkan pada pembuat Lockbit 3.0 yang bocor. Malware ini juga telah menggunakan varian Babuk dalam kasus setidaknya satu korban Indonesia.
Penggunaan berbagai enkripsi memungkinkan pelaku ancaman untuk menargetkan beberapa sistem operasi dan lingkungan. Berbagai enkripsi dapat dioptimalkan untuk sistem operasi yang berbeda yang memperluas cakupan target potensial, yang pada akhirnya memaksimalkan dampaknya.
Meskipun catatan tebusannya kurang memiliki karakter, catatan tersebut memiliki kejelasan, dengan petunjuk singkat dan langkah demi langkah tentang cara membayar mereka untuk pemulihan data. Proses tersebut melibatkan semua perangkap ransomware yang biasa: portal korban, layanan dukungan pelanggan, dan situs kebocoran.
Namun, yang perlu dicatat, kelompok tersebut tidak membocorkan data milik sebagian besar korbannya yang dilacak oleh Group-IB. Hal ini membuat para peneliti menyimpulkan bahwa Brain Cipher tidak benar-benar mencuri data seperti yang disampaikan.
Baca juga: 3 Fase Serangan Ransomware |
Wajah-wajah Brain Cipher
Brain Cipher juga kesulitan dengan opsec. Catatan tebusannya, informasi kontak, dan situs web Tor semuanya tumpang tindih dengan kelompok lain yang seharusnya independen seperti:
- Reborn Ransomware.
- EstateRansomware.
- SenSayQ.
- Dan entitas lain tanpa nama samaran, artefak yang berasal dari bulan April.
Bersama-sama, operasi yang seharusnya independen ini telah mengirimkan serangan ransomware yang tumpang tindih ke seluruh dunia.
Reborn telah menghitung korban di Tiongkok, Prancis, Indonesia, dan Kuwait, dan kelompok lain mencantumkan Prancis, Hong Kong, Italia, Lebanon, Malaysia, dan AS dalam daftar mereka.
Beroperasi dengan beberapa nama dan menggunakan enkripsi yang berbeda menawarkan beberapa keuntungan bagi pelaku ancaman.
Dengan terus mengembangkan taktik mereka, para pelaku ini menghambat kemampuan peneliti keamanan dan penegak hukum untuk melacak aktivitas mereka.
Penggunaan beberapa identitas memberi keuntungan berupa:
- Mengaburkan atribusi.
- Memperpanjang investigasi.
- Memungkinkan penargetan berbagai sektor atau wilayah tanpa konsekuensi reputasi.
Fleksibilitas untuk mengadopsi persona baru dengan cepat melindungi dari gangguan operasional jika terjadi identitas yang dikompromikan.
Sumber berita: