image credit: Pixabay.com
Pada kali ini kita akan membahas mengenai ransomware afiliasi negara, yang ramai jadi pembicaraan di berbagai kalangan saat ini.
Dahulu, batasan antara kejahatan dunia maya dan aktivitas ancaman yang berada di bawah pengaruh negara cukup mudah dibedakan. Penjahat dunia maya semata-mata didorong oleh motif keuntungan.
Dan rekan-rekan mereka di pemerintahan sebagian besar melakukan operasi spionase dunia maya, ditambah serangan destruktif sesekali, untuk memajukan tujuan geopolitik atasan mereka. Namun, dalam beberapa bulan terakhir, batasan ini mulai memudar, termasuk dalam hal ransomware.
Hal ini berpotensi memiliki implikasi besar bagi para pemimpin TI dan keamanan – tidak hanya meningkatkan risiko serangan, tetapi juga mengubah kalkulus tentang cara mengurangi risiko tersebut.
|
Baca juga: Tren Ransomware 2025 |
Batasan yang Kabur di Dunia Maya
Anda dapat berargumen bahwa serangan ransomware yang diluncurkan oleh peretas yang disponsori negara, pada kenyataannya, bukanlah hal baru. Pada tahun 2017, operator yang berafiliasi dengan Korea Utara diduga telah meluncurkan WannaCry (alias WannaCryptor), ransomware global pertama yang pernah ada.
Hal itu baru dihentikan setelah seorang peneliti keamanan menemukan dan mengaktifkan “tombol pemutus” yang tersembunyi dalam kode berbahaya tersebut. Pada tahun yang sama, peretas yang disponsori negara meluncurkan kampanye NotPetya terhadap target Ukraina, meskipun dalam kasus ini sebenarnya malware yang merusak disamarkan sebagai ransomware untuk mengecoh penyidik. Pada tahun 2022, ESET mengamati kelompok Sandworm Rusia menggunakan ransomware dengan cara yang sama: sebagai penghapus data.
Batas antara operasi yang didukung negara dan kejahatan yang bermotif finansial telah kabur sejak saat itu. Seperti yang kami catat beberapa waktu lalu, banyak vendor web gelap menjual eksploitasi dan malware kepada aktor negara, sementara beberapa pemerintah mempekerjakan peretas lepas untuk membantu operasi tertentu.
Apa yang Terjadi Hari Ini?
Namun, tren ini tampaknya semakin cepat. Khususnya di masa lalu, ESET dan yang lainnya telah mengamati beberapa motif yang jelas:
Ransomware Mengisi Kas Negara
Peretas pemerintah sengaja menggunakan ransomware sebagai alat penghasil uang bagi negara. Hal ini paling jelas terlihat di Korea Utara, di mana kelompok ancaman juga menargetkan perusahaan mata uang kripto dan bank dengan pencurian besar-besaran yang canggih. Faktanya, mereka diyakini memperoleh sekitar $3 miliar laba gelap dari aktivitas ini antara tahun 2017 dan 2023.
Pada bulan Mei 2024, Microsoft mengamati Moonstone Sleet yang berpihak pada Pyongyang menyebarkan ransomware khusus yang dijuluki “FakePenny” pada beberapa organisasi kedirgantaraan dan pertahanan, setelah sebelumnya mencuri informasi sensitif. Perilaku ini menunjukkan bahwa pelaku memiliki tujuan untuk pengumpulan intelijen dan monetisasi aksesnya.
Kelompok Korea Utara Andariel juga diduga telah memberikan akses awal dan/atau layanan afiliasi kepada kelompok ransomware yang dikenal sebagai Play. Itu karena ransomware Play ditemukan di jaringan yang sebelumnya telah disusupi oleh Andariel.
|
Baca juga: 3 Fase Serangan Ransomware |
Menghasilkan Uang Sampingan
Motif lain keterlibatan negara dalam serangan ransomware adalah untuk memungkinkan peretas pemerintah memperoleh sejumlah uang dari pekerjaan sampingan.
Salah satu contohnya adalah kelompok Iran Pioneer Kitten (alias Fox Kitten, UNC757, dan Parisite) yang telah diketahui oleh FBI “bekerja sama secara langsung dengan afiliasi ransomware untuk mengaktifkan operasi enkripsi dengan imbalan persentase pembayaran tebusan.”
Mereka bekerja sama erat dengan NoEscape, Ransomhouse, dan ALPHV (alias BlackCat) – tidak hanya menyediakan akses awal, tetapi juga membantu mengunci jaringan korban dan bekerja sama untuk memeras korban.
Mengecoh Penyidik
Kelompok APT yang terkait dengan negara juga menggunakan ransomware untuk menutupi maksud sebenarnya dari serangan. Inilah yang diyakini telah dilakukan oleh ChamelGang (alias CamoFei) yang berpihak pada Tiongkok dalam berbagai kampanye yang menargetkan organisasi infrastruktur penting di Asia Timur dan India, serta AS, Rusia, Taiwan, dan Jepang.
Menggunakan ransomware CatB dengan cara ini tidak hanya memberikan perlindungan untuk operasi spionase siber ini, tetapi juga memungkinkan operator untuk menghancurkan bukti pencurian data mereka.
Apakah Atribusi Penting?
Jelas mengapa kelompok yang didukung pemerintah menggunakan ransomware. Paling tidak, hal itu memberi mereka alasan yang berguna untuk menyangkal secara masuk akal yang dapat membingungkan para penyelidik.
Dan dalam banyak kasus, hal itu dilakukan sambil meningkatkan pendapatan negara dan membantu memotivasi peretas yang dipekerjakan pemerintah yang seringkali hanya sekadar pegawai negeri yang dibayar rendah.
Pertanyaan besarnya adalah apakah benar-benar penting siapa yang melakukan penyerangan? Lagipula, Microsoft bahkan telah mengungkap bukti bahwa lembaga pemerintah melakukan alih daya pekerjaan secara besar-besaran – meskipun dalam kasus Storm-2049 (UAC-0184 dan Aqua Blizzard, tidak ada ransomware yang terlibat.
Ada dua aliran pemikiran di sini. Di satu sisi, saran keamanan praktik terbaik harus tetap berlaku – dan menjadi cara yang efektif untuk membangun ketahanan dan mempercepat respons insiden—siapa pun yang melakukan serangan.
Bahkan, jika kelompok APT yang berpihak pada negara akhirnya menggunakan taktik, teknik, dan prosedur kejahatan dunia maya (TTP), ini bahkan dapat menguntungkan pembela jaringan, karena ini cenderung lebih mudah dideteksi dan dipertahankan daripada alat khusus yang canggih.
Namun, ada juga argumen yang mengatakan bahwa memahami musuh adalah langkah pertama yang penting untuk mengelola ancaman yang mereka timbulkan. Hal ini dijelaskan dalam laporan penelitian tahun 2023, Profil Penyerang Dunia Maya untuk Analisis Risiko Berdasarkan Pembelajaran Mesin: “Salah satu komponen penting dari analisis risiko keamanan dunia maya adalah definisi model penyerang. Model penyerang yang ditentukan, atau profil penyerang, memengaruhi hasil analisis risiko, dan selanjutnya pemilihan langkah-langkah keamanan untuk sistem informasi.
|
Baca juga: Asia Tenggara Menjadi Lahan Basah Ransomware |
Menghadapi Ancaman
Meskipun demikian, jika Anda tidak mengetahui identitas musuh Anda, masih ada cara untuk mengurangi dampak serangan ransomware mereka. Berikut adalah 10 langkah praktik terbaik:
- Tangani rekayasa sosial dengan pelatihan keamanan dan program kesadaran terkini.
- Pastikan akun dilindungi dengan kata sandi yang panjang, kuat, dan unik serta autentikasi multifaktor (MFA).
- Bagi jaringan untuk mengurangi “area ledakan” serangan dan membatasi pergerakan lateral.
- Terapkan pemantauan berkelanjutan (deteksi dan respons titik akhir atau deteksi dan respons terkelola) untuk mengidentifikasi perilaku mencurigakan sejak dini.
- Uji efektivitas kontrol, kebijakan, dan proses keamanan secara berkala untuk mendorong peningkatan berkelanjutan.
- Terapkan alat manajemen kerentanan dan patch tingkat lanjut.
- Pastikan semua aset sensitif dilindungi oleh perangkat lunak keamanan berlapis dari pemasok bereputasi baik, termasuk untuk desktop, server, dan laptop/perangkat seluler.
- Berinvestasilah dalam intelijen ancaman dari mitra tepercaya.
- Lakukan pencadangan rutin sesuai dengan praktik terbaik.
- Buat strategi dan praktik respons insiden yang efektif secara berkala.
Sumber berita:
