Menurut telemetri ESET, angka deteksi ransomware tetap stabil antara T2 dan T3 2021, hanya meningkat 1%. Namun, gambaran stabilitas keseluruhan menyembunyikan periode yang cukup sibuk dengan beberapa puncak yang patut diperhatikan.
Lonjakan pertama dan terbesar terjadi pada awal T3 2021, pada 9 September. Keluarga ransomware terkenal Win/Filecoder.Sodinokibi (alias REvil) menyumbang 73% deteksi hari itu, memukul Afrika Selatan (SA) paling keras hanya beberapa hari sebelum Departemen Kehakiman SA berkompromi.
|
Baca juga: Panduan Ransomware Singkat |
Puncak serangan ransomware
Puncak berikutnya terjadi pada 14 September, 66% di antaranya disebabkan oleh MSIL/Filecoder.FU, cabang dari ransomware HiddenTear. Untuk mendistribusikan malware mereka, operator memilih spam dan mengisi sebagian besar kotak masuk berbahasa Prancis.
Meskipun berdasarkan source code ransomware HiddenTear dari GitHub, Filecoder.FU menggunakan serangkaian parameter dan alamat bitcoin yang berbeda, dan berupaya menghindari deteksi dengan melakukan penyamaran. Namun, ada kemungkinan pemulihan menggunakan dekripsi HiddenTear yang tersedia.
Kenaikan ketiga dalam telemetri ESET terjadi pada 16 Oktober, dipimpin oleh Win/Filecoder.Lockbit. Keluarga malware ini menyumbang 70% dari semua deteksi hari itu, sebagian besar menargetkan mesin di Honduras.
Pada 14 Desember, ESET melihat kampanye oleh keluarga ransomware baru bernama Rook. Ini didasarkan pada kode yang bocor dari ransomware Babuk yang sekarang sudah tidak berfungsi dan menggunakan catatan tebusan Sodinokibi. Pada 14 Desember, Rook menyumbang lebih dari 23% deteksi dan menyebar secara eksklusif di Amerika Serikat.
|
Baca juga: Timbul Tenggelam Era Ransomware |
Operasi penegakan hukum
Salah satu tren utama yang terlihat dalam empat bulan terakhir tahun 2021 adalah aktivitas penegakan hukum yang terburu-buru terhadap ransomware, dengan lembaga-lembaga yang menawarkan jutaan hadiah untuk informasi dan menyelesaikan operasi di seluruh dunia.
Dalam beberapa penangkapan, agen polisi memborgol dua afiliasi dan kemudian lima afiliasi Sodinokibi di Ukraina, Rumania dan Kuwait, termasuk orang yang diduga bertanggung jawab atas serangan Kaseya. Operasi penegakan hukum lainnya menyebabkan penangkapan enam anggota geng Cl0p, yang dikenal karena menyerang Accellion dan menyerang perusahaan-perusahaan di Korea Selatan dan AS.
Selusin orang berakhir di tahanan polisi sehubungan dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma, yang membahayakan organisasi infrastruktur penting seperti Altran Technologies dan Norsk Hydro.
Namun, cerita terbesar tentang aktivitas polisi datang tak lama setelah T3 2021 berakhir, pada 14 Januari 2022. Setelah diberi tahu oleh otoritas AS, agen Rusia menggerebek lokasi di sekitar Rusia, menangkap lebih dari selusin anggota kelompok ransomware yang mungkin paling terkenal hari ini, geng Sodinokibi.
Sebagian besar operasi polisi juga menyebabkan penyitaan perangkat keras yang berisi data kunci dan cryptocurrency, uang tunai, mobil mewah, dan barang berharga senilai puluhan juta dolar AS.
Aktivitas ransomware yang merusak pada tahun 2021 menciptakan ikatan dan perjanjian internasional baru. Salah satu yang menjadi berita utama adalah pertemuan khusus yang diselenggarakan oleh Gedung Putih, menyatukan 30 negara dalam perjuangan namun tetap menjauhkan Rusia. Juga, undang-undang AS yang baru diusulkan. Ransom Disclosure Act bertujuan untuk memperketat aturan bagi korban ransomware, yang mengharuskan mereka untuk memberikan informasi pembayaran kepada pemerintah dalam waktu 48 jam setelah transaksi.
Desahan lega hampir terdengar karena beberapa decryptors dirilis sepanjang T3 2021. Alat pemulihan dirilis untuk: sejumlah korban Sodinokibi yang diserang oleh ransomware BlackByte; untuk organisasi yang disusupi oleh AtomSilo, Babuk, dan LockFile, dan bantuan diam-diam ditawarkan kepada para korban BlackMatter, perubahan nama keluarga Darkside. Geng AvosLocker menyediakan kunci dekripsi itu sendiri tetapi hanya untuk kasus di mana mereka mengenai sistem departemen kepolisian AS.
|
Baca juga: Melawan Ransomware 2022 |
Pemain baru
Terlepas dari tekanan yang meningkat pada kejahatan dunia maya, T3 2021 melihat beberapa pemain baru mencoba untuk membuat nama untuk diri mereka sendiri. Daftar tersebut termasuk AtomSilo, Yanluowang, spin-off Babuk yang telah disebutkan bernama Rook, dan loker Macaw oleh Evil Corp. Satu rebranding yang mengesankan mengubah apa yang dikenal sebagai Nemty, Nefilim, atau Gangbang menjadi Karma.
Satu keluarga ransomware yang muncul kembali pada Juni 2021 tetapi menjadi berita utama di T3 2021 adalah ransomware Hive. Dalam empat bulan pertama kegiatannya, geng itu merusak sistem lebih dari 350 organisasi. Salah satunya, peritel elektronik UE terkemuka, MediaMarkt, diminta membayar uang tebusan sebesar USD 240 juta.
Korban terkenal lainnya di T3 2021 adalah koperasi pertanian AS Crystal Valley dan New Cooperative Inc., produsen turbin angin terkemuka Vestas Wind Systems, perusahaan elektronik JVCKENWOOD, perusahaan medis Olympus, dan National Rifle Association (NRA) AS yang menjadi target Evil Corp. Ransomware Grief.
Seperti yang terlihat sejak awal pandemi, geng ransomware mengikuti dengan cermat informasi tentang kerentanan kritis yang baru-baru ini dipublikasikan dan mencoba memanfaatkannya untuk tujuan mereka. Di T3 2021, ini sebagian besar diwakili oleh upaya untuk mengkompromikan korban melalui kerentanan Log4j.
Keluarga ransomware pertama yang menyalahgunakan kelemahan beberapa hari setelah publikasinya adalah pendatang baru bernama Khonsari. Segera diikuti oleh geng Conti, ransomware TellYouThePass yang dihidupkan kembali dan penjahat dunia maya lainnya serta aktor APT.
Selain Log4j, cacat Serv-U di SolarWinds, dan ProxyShell di server MS Exchange disalahgunakan untuk meretas sistem yang belum ditambal di T3 2021, yang pertama oleh Cl0p dan yang terakhir oleh Conti.
|
Baca lainnya: |
