Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat

Penegak hukum dan komunitas keamanan siber secara luas telah fokus untuk menghentikan rentetan serangan ransomware yang mahal dan mengganggu dan upaya ini tampaknya menuai hasil yang baik, setidaknya sampai batas tertentu.

Meskipun demikian, langkah-langkah terbaru dari geng LockBit 2.0 dan BlackCat, ditambah pukulan akhir pekan ini di perusahaan logistik darat bandara Swissport, menunjukkan momok masih jauh dari selesai.

Situasi ini membuat serangan ransomware menjadi lebih mahal dan lebih berisiko daripada sebelumnya dan kelompok ransomware telah merespons dengan melakukan lebih sedikit serangan dengan permintaan tebusan yang lebih tinggi.

Dalam sebuah laporan diketahui bahwa rata-rata pembayaran ransomware pada kuartal keempat tahun lalu naik 130 persen mencapai $322.168 . Demikian juga, bersamaan dengan itu ditemukan lonjakan 63 persen dalam pembayaran tebusan rata-rata, hingga $117.116.

Serangan Minim, Tebusan Lebih Besar

Pembayaran tebusan rata-rata yang meningkat secara dramatis belakangan, merupakan perubahan yang didorong oleh pergeseran taktis oleh operasi ransomware as a service (RaaS) yang mencerminkan adanya peningkatan biaya dan risiko.

Pergeseran taktis melibatkan upaya yang disengaja untuk memeras perusahaan yang cukup besar untuk membayar sejumlah uang tebusan yang cukup besar tetapi cukup kecil untuk menjaga biaya operasi serangan sehingga meminimalisir perhatian media dan penegak hukum.

Kelompok ransomware juga mulai fokus pada usaha kecil hingga menengah untuk menghindari perhatian dan publisitas penegakan hukum seperti yang terjadi dengan serangan Colonial Pipeline tahun lalu.

Kelompok Ransomware ingin Low Profile

Tren serangan kemungkinan akan terus berlanjut, dipimpin oleh operator ransomware as a service paling produktif di luar sana: Conti, LockBit 2.0, dan Hive. Menyusul tindakan penegakan hukum yang represif, termasuk penangkapan anggota REvil oleh Rusia, diperkirakan bahwa kelompok-kelompok ini akan mencoba untuk tidak menonjolkan diri.

Sementara semua operasi RaaS perlu merekrut afiliasi, sehingga kelompok-kelompok ini kemungkinan menjadi lebih tertutup dalam pesan publik mereka dan lebih berhati-hati tentang perusahaan apa yang mereka targetkan.

Pelajaran yang dipetik dari serangan Colonial Pipeline dan penangkapan FSB baru-baru ini kemungkinan akan membuat beberapa tampilan publik yang lebih terkendali. Tetapi profil yang lebih rendah tidak berarti operator ransomware masih mengasah keterampilan mereka.

Rebranding dan Pemerasan Tiga Kali

LockBit 2.0 belum lama ini memberi tekanan kuat pada korbannya untuk membayar dengan ancaman untuk merilis data pelanggan perusahaan dengan jumlah yang tidak sedikit, namun juga tidak terlalu mahal.

LockBit 2.0 mengambil keuntungan untuk melanggar platform pertukaran cryptocurrency playbito.com. Peneliti keamanan memposting peringatan dari LockBit2.0 bahwa grup tersebut akan mempublikasikan data pribadi lebih dari 100.000 pengguna platform kecuali uang tebusan dibayarkan pada 21 Februari.

Sementara di tempat lain, BlackCat juga dikenal sebagai ALPHV, operasi RaaS pemula yang sedang meningkat dan dengan cepat merekrut afiliasi, kelompok tersebut telah mulai menambahkan tekanan bagi korban mereka untuk membayar dengan tidak hanya mencuri data mereka dan mengancam akan merilisnya, tetapi juga menjanjikan penolakan layanan (DDoS) yang melumpuhkan jika mereka menolak untuk membayar taktik ransomware yang dikenal sebagai “pemerasan tiga kali lipat.”

Operator ransomware BlackCat berkode Rust menyebut diri mereka ALPHV, tetapi MalwareHunterTeam menjuluki mereka BlackCat setelah gambar yang digunakan pada halaman pembayaran yang harus dikunjungi korban di Tor untuk membayar.

Laporan tersebut juga mengkonfirmasi bahwa BlackCat pada dasarnya adalah rebranding, dengan anggota grup telah mengonfirmasi bahwa mereka adalah anggota grup BlackMatter/DarkSide sebelumnya.