image credit: Pixabay.com
Ransomware adalah kejahatan siber yang paling ditakuti oleh berbagai pihak di dunia maya, dan akan semakin merepotkan jika memiliki fungsi sebagai layanan seperti Ransomware as a Service Medusa.
Pada pertengahan tahun 2024, kelompok ransomware Medusa mengubah pendekatannya terhadap kejahatan dunia maya, beralih dari operasi tertutup yang mana semua aktivitasnya dilakukan oleh kelompok kecil dan terisolasi menjadi penerapan model Ransomware as a Service (RaaS), yang melibatkan afiliasi dan berbagi pendapatan.
Seperti perusahaan yang mengadopsi model waralaba, kelompok Medusa mengalami penurunan bisnis. Namun, serangan yang menggunakan infrastruktur kelompok tersebut melonjak hingga 43% pada tahun 2024 dan diperkirakan akan meningkat lagi setidaknya sepertiga tahun ini.
|
Baca juga: Pembasmi Vampir Itu Kini Ransomware |
Korban Ransomware as a Service Medusa
Secara keseluruhan, kelompok RaaS Medusa telah membahayakan 300 hingga 400 korban sejak pertengahan tahun 2024, dan kecenderungannya untuk menargetkan industri penting, seperti perawatan kesehatan dan manufaktur, telah mengakibatkan dampak yang sangat besar.
Evolusi Medusa merupakan bagian besar dari keberhasilan kelompok tersebut, dan sebagai hasilnya, mereka beralih ke kolam yang lebih besar.
Medusa telah melakukan perubahan yang cukup besar, terutama sejak Agustus tahun lalu saat mereka berada pada titik terendah sepanjang masa dan mereka benar-benar meningkat sejak saat itu.
Mereka telah beralih dari menargetkan perusahaan yang lebih kecil dan beralih ke area perusahaan yang lebih besar. Pertumbuhan kelompok ransomware yang stabil telah memicu peringatan dari perusahaan keamanan siber dan lembaga pemerintah.
Bulan lalu, FBI, Badan Keamanan Siber dan Infrastruktur (CISA), dan Pusat Analisis dan Pembagian Informasi Multi-Negara (MS-ISAC) memperingatkan bahwa serangan Medusa telah memengaruhi lebih dari 300 korban.
|
Baca juga: Sepak Terjang Ransomware RansomHub |
Efisiensi Model as a Service
Pada awal Maret, peneliti siber mencatat bahwa Medusa atau Spearwing julukan lain untuk grup tersebut telah menunjukkan pertumbuhan yang konsisten sebesar 43% sejak 2023. Spearwing dianggap sebagai salah satu grup paling aktif saat ini, setelah RansomHub dan Qilin.
Serangan Medusa hampir dua kali lipat lebih banyak dalam dua bulan pertama tahun 2025 dibandingkan periode yang sama tahun 2024.
Hal ini kemungkinan besar didorong oleh kesenjangan di pasar yang diciptakan oleh penumpasan grup seperti LockBit dan Noberus.
Peralihan ke ransomware as a service juga disertai dengan peningkatan efisiensi, karena kelompok tersebut dapat menyediakan alat atau binari yang dapat digunakan di dunia maya (LOLbins) dan mengandalkan orang lain untuk akses awal dan menemukan target yang rentan.
Medusa sangat efisien dalam menggunakan banyak alat pihak ketiga untuk menutupi jejak mereka, yang juga menekan biaya mereka.
Karena setiap saat sebuah tim atau kelompok harus mengembangkan perangkat lunak khusus mereka sendiri, maka itu berarti:
- Mereka harus memiliki tim pengembangan
- Harus memelihara alat-alat tersebut
- Mereka harus khawatir tentang hal itu yang terdeteksi.
Jadi dengan menggunakan LOLbins dan aplikasi pihak ketiga dan menyalahgunakannya, tidak akan ada biaya yang dikeluarkan dalam hal itu.
|
Baca juga: Ransomware Afiliasi Negara |
Teknik Canggih
Peralihan ke ransomware as a service bukanlah satu-satunya alasan kelompok tersebut berkembang. Sementara kelompok tersebut, seperti kebanyakan kelompok ransomware modern, menggunakan teknik hidup di alam untuk menghindari deteksi oleh perangkat lunak keamanan siber, peralatan Medusa juga mencakup beberapa pendekatan canggih untuk membahayakan mesin.
Misalnya, kelompok tersebut menggunakan driver penandatanganan kode yang sah tetapi telah dicabut dari vendor Tiongkok yang meniru tanda tangan kode dari firma keamanan siber tertentu.
Serangan tersebut memungkinkan Medusa untuk memuat driver yang rentan dan kemudian mengeksploitasi kelemahan driver tersebut. Serangan semacam itu dikenal sebagai bring your own vulnerable driver (BYOVD) dan dapat digunakan untuk menghindari keamanan endpoint pada sistem yang ditargetkan. Oleh karena itu, perusahaan perlu memiliki beberapa jenis visibilitas.
Sumber berita:
