Tahun ini, kelompok ransomware telah beradaptasi dan berinovasi, mendorong batasan kemampuan berbahaya mereka dan menghindari penegakan hukum. Dalam laporan tahunan “Malware Paling Berbahaya”, yang kini sudah memasuki tahun keenam, kami mengamati peningkatan yang stabil dalam jumlah dan kompleksitas serangan malware. Sektor ransomware, khususnya, menyaksikan munculnya “model bisnis,” dengan ransomware-as-a-service (RaaS) mendominasi. Penulis ransomware elit telah menyimpulkan bahwa berbagi keuntungan dan mitigasi risiko adalah kunci kesuksesan mereka yang konsisten dan penghindaran dari otoritas.
Sungguh ironis, cerita LockBit di tahun 2024 mencontohkan ketahanan dan kemampuan beradaptasi dari kelompok-kelompok kriminal siber ini. Meskipun ada operasi penegakan hukum besar pada bulan Februari, yang diberi nama “Operasi Cronos,” di mana FBI dan mitra internasional menyita infrastruktur LockBit dan memperoleh lebih dari 7.000 kunci dekripsi, kelompok ini berhasil bangkit kembali hanya dalam beberapa hari. Permainan kucing dan tikus antara LockBit dan aparat penegak hukum terus berlanjut sepanjang tahun, dengan pemimpin grup bahkan mengejek FBI, mengklaim bahwa upaya mereka justru membuat LockBit menjadi lebih kuat. Cerita LockBit ini menunjukkan satu hal yang penting: meskipun operasi penegakan hukum dapat mengganggu aktivitas kriminal siber, mereka sering kali gagal memberikan pukulan telak. Kelompok-kelompok ini semakin mahir membangun kembali infrastruktur mereka, mengganti nama jika perlu, dan melanjutkan operasi mereka dengan sedikit gangguan.
Saat kami menganalisis enam kelompok ransomware dan malware paling terkenal yang mendominasi berita pada 2024, penting untuk dicatat bahwa lanskap ancaman tidak hanya mencakup aktor-aktor ini. Kenaikan phishing dan rekayasa sosial yang didorong oleh AI, meningkatnya target terhadap infrastruktur kritis, dan munculnya malware tanpa file yang lebih canggih adalah tren yang telah membentuk medan perang keamanan siber tahun ini.
Laporan ini akan mengupas bagaimana kelompok-kelompok ini berkembang, serangan mereka yang paling signifikan, dan dampak lebih luas bagi keamanan siber. Kami juga akan memberikan tips bertahan hidup yang diperbarui untuk bisnis dan pengguna individu, mencerminkan sifat ancaman yang selalu berubah ini.
Ransomware
Selama dekade terakhir, ransomware telah menjadi puncak dari eksploitasi kriminal siber. Ini adalah jalan yang paling sukses dan menguntungkan untuk memonetisasi pelanggaran terhadap korban. Setiap tahun kita melihat lebih banyak data dicuri dan tuntutan tebusan yang lebih tinggi mendominasi berita. Setiap kelompok ransomware dalam daftar “Malware Paling Berbahaya” kami menggunakan metode double-extortion, di mana data yang dicuri dimanfaatkan untuk potensi kebocoran di situs-situs gelap. Kerusakan yang dapat terjadi pada merek dan reputasi akibat pengungkapan pelanggaran secara publik adalah ancaman besar bagi perusahaan dari berbagai ukuran. Belum lagi denda regulasi yang datang dengan pelanggaran tersebut. Strategi ini telah menunjukkan ketahanannya dalam beberapa tahun terakhir sejak menjadi arus utama, dan sepertinya tetap sekuat sebelumnya. Mari kita lihat angka pembayaran sejauh ini di tahun 2024.
Sumber: Coveware
Kami telah melihat penurunan dari puncaknya tahun lalu, yang didorong oleh kelompok ransomware Cl0p yang menghasilkan lebih dari $100 juta dalam beberapa bulan pada akhir 2023. Namun jika kita lihat lebih jauh, angka ini diperkirakan akan terus naik seiring waktu. Tahun depan kami memperkirakan jumlahnya akan lebih tinggi daripada saat ini. Beberapa di antaranya akan didorong oleh inflasi, beberapa oleh peningkatan efektivitas taktik, dan beberapa lagi oleh lonjakan harga kripto yang diperkirakan pada tahun 2025 – satu-satunya metode pembayaran yang diterima oleh para penjahat ini.
Melihat tingkat penyelesaian pembayaran – yaitu persentase orang yang akhirnya membayar tebusan, kita bisa melihat sedikit peningkatan sepanjang tahun ini. Namun secara keseluruhan, tren menunjukkan penurunan, yang merupakan kabar baik dan mencerminkan bahwa industri semakin berhati-hati dalam kebijakan keamanan mereka. Kami mengharapkan sedikit peningkatan ini hanya bersifat sementara dan tren penurunan akan berlanjut pada tahun depan.
Perubahan buruk tahun ini adalah peningkatan serangan ransomware pada bisnis kecil.
Pangsa pasar serangan ransomware pada bisnis dengan kurang dari 100 karyawan kini hampir mencapai 40%. Sementara berita utama tentang tebusan rekor terhadap perusahaan Fortune 500 selalu menjadi sorotan utama, pasar kecil hingga menengah selalu menjadi sasaran empuk bagi para penjahat siber. Jumlah upaya dan hasil yang didapatkan dari waktu yang diinvestasikan terlalu menguntungkan untuk tidak menarik perhatian mereka. Sekarang mari kita lihat malware paling berbahaya tahun ini.
LockBit: Ancaman yang Tahan Banting
Salah satu kelompok ransomware yang paling terkenal, LockBit, menghadapi tantangan dan gangguan signifikan pada tahun 2024 akibat upaya penegakan hukum internasional yang terkoordinasi. Tahun dimulai dengan “Operasi Cronos,” sebuah serangan besar terhadap infrastruktur LockBit pada Februari. Dipimpin oleh Badan Kejahatan Nasional Inggris (NCA) dan melibatkan agen dari berbagai negara, termasuk FBI, operasi ini berhasil menyita situs kebocoran LockBit dan mengungkap informasi mengenai hampir 200 afiliasi. Sebuah momen penting terjadi ketika FBI memperoleh lebih dari 7.000 kunci dekripsi, memungkinkan korban untuk membuka data mereka yang terenkripsi secara gratis. Ini memberi pukulan besar pada operasi dan kredibilitas LockBit – ingat bahwa sebagian besar kesuksesan dan uang datang dari afiliasi yang memilih payload ransomware mereka dibandingkan dengan grup lain, sehingga kredibilitas dan kepercayaan sangat penting dalam dunia kriminal ini.
Meskipun menghadapi kemunduran ini, LockBit mencoba untuk mempertahankan operasinya dengan cepat beradaptasi, mengganti metode enkripsi, dan mengubah strategi situs kebocorannya. Namun, penegak hukum terus memberikan tekanan sepanjang tahun. Pada Mei, pihak berwenang mengungkapkan identitas otak di balik LockBit, Dmitry Yuryevich Khoroshev, dan menawarkan hadiah $10 juta untuk informasi yang mengarah pada penangkapannya. Puncak dari upaya ini terjadi pada Oktober ketika agen penegak hukum mengumumkan penangkapan dan gangguan lebih lanjut. Empat individu yang terkait dengan LockBit ditangkap, termasuk seorang pengembang utama dan dua afiliasi. Salah satu yang menarik adalah Aleksandr Ryzhenkov, yang terhubung dengan baik dengan LockBit dan grup terkenal Evil Corp, yang akhirnya terungkap dan diberi sanksi. Tindakan ini, bagian dari Operasi Cronos yang berkelanjutan, sangat berdampak pada operasi LockBit, yang mengakibatkan penurunan frekuensi serangan mereka yang signifikan dan menciptakan ketidakpercayaan di komunitas penjahat siber.
Namun, LockBit masih menjadi pemain utama dalam dunia RaaS dan pemimpinnya serta afiliasinya masih menghasilkan jutaan dolar dari tebusan. LockBit telah membuktikan ketahanannya meskipun ada upaya penegakan hukum, menunjukkan kemampuan dan ketekunan kelompok ini. Pemimpinnya bahkan membanggakan bahwa mereka menyukai FBI dan menyatakan bahwa upaya mereka justru membuat kelompoknya lebih kuat, serta ingin menyerang satu juta bisnis sebelum pensiun. Ini adalah kontras yang tajam dengan kebanyakan kelompok ransomware yang ketika terkena penegakan hukum, mereka dengan cepat mengganti nama dan beralih ke grup lain. RaaS ini telah masuk dalam daftar Malware Paling Berbahaya selama lebih dari tiga tahun dan mempertahankan statusnya sebagai pesaing utama dalam dunia ransomware pada tahun 2024.
RansomHub: Penyerang Profil Tinggi
RansomHub muncul sebagai pemain baru yang tangguh di dunia ransomware pada Februari 2024, dengan cepat membuktikan diri sebagai salah satu kelompok ransomware yang paling produktif dan berbahaya. Beroperasi dengan model RaaS (Ransomware-as-a-Service), RansomHub menarik afiliasi profil tinggi dari kelompok-kelompok terkenal lainnya seperti BlackCat/ALPHV setelah penangkapan FBI pada Desember 2023. Hal ini kemungkinan karena struktur pembayaran yang menarik, di mana afiliasi menerima hingga 90% dari tebusan – dibandingkan dengan sekitar 30-50% pada kelompok lain.
Pada Agustus 2024, RansomHub telah menyerang setidaknya 210 korban di berbagai sektor infrastruktur kritis di AS, termasuk sektor kesehatan, layanan pemerintah, layanan keuangan, dan manufaktur kritis. Serangan-serangan penting termasuk pelanggaran terhadap Planned Parenthood, jaringan apotek Rite Aid, rumah lelang Christie’s, dan Frontier Communications, yang mengakibatkan bocornya informasi pribadi lebih dari 750.000 pelanggan. Taktik RansomHub berkembang sepanjang tahun, menggunakan metode canggih seperti mengeksploitasi kerentanannya berbagai perangkat lunak, menggunakan enkripsi secara berselang untuk mempercepat serangan, dan memanfaatkan teknik double extortion. Situs kebocoran data grup ini menjadi ancaman signifikan, dengan data yang dicuri dipublikasikan selama 3-90 hari jika tuntutan tebusan tidak dipenuhi.
Serangan terhadap Planned Parenthood tidak hanya menunjukkan kemampuan RansomHub untuk melanggar jaringan yang sangat sensitif, tetapi juga menyoroti kesiapan mereka untuk menargetkan organisasi dengan risiko reputasi tinggi. Hal ini memicu kekhawatiran luas dan diskusi tentang langkah-langkah keamanan siber di organisasi nirlaba. Pada Oktober 2024, RansomHub berhasil menyalip LockBit sebagai kelompok ransomware yang paling produktif dalam hal jumlah serangan yang diklaim berhasil, memperkokoh posisi mereka sebagai ancaman utama di lanskap keamanan siber.
Dark Angels: Ahli Pemburu Sasaran Besar
Dark Angels muncul sebagai salah satu ancaman ransomware yang paling tangguh pada 2024, mendapatkan reputasi karena pendekatan “big game hunting” yang sangat terfokus dan tuntutan tebusan yang memecahkan rekor. Kelompok ini, yang aktif sejak 2022, membuat berita pada awal 2024 ketika mereka dilaporkan menerima pembayaran tebusan yang mencengangkan sebesar $75 juta dari sebuah perusahaan Fortune 50. Pembayaran ini hampir dua kali lipat dari rekor sebelumnya, yaitu $40 juta yang dibayar oleh CNA Financial pada 2021. Modus operandi kelompok ini melibatkan penargetan sejumlah kecil organisasi bernilai tinggi, sering kali mengekstraksi data dalam jumlah besar (biasanya 10-100 terabyte untuk perusahaan besar) sebelum mempertimbangkan enkripsi. Strategi ini memungkinkan Dark Angels untuk tetap menjaga profil rendah sambil memaksimalkan keuntungan mereka.
Pada 2024, mereka terus mengembangkan taktik mereka, beralih dari ransomware berbasis Babuk-ESXi ke varian Ragnar Locker. Serangan notable yang dikaitkan dengan Dark Angels pada 2024 termasuk pelanggaran terhadap perusahaan media ternama, di mana mereka mencuri informasi berharga dan terlibat dalam negosiasi panjang sebelum tebusan dibayar. Situs kebocoran data mereka, yang dinamai “Dunghill Leak,” digunakan untuk memberi tekanan kepada korban agar membayar, meskipun kelompok ini sering kali lebih suka menghindari perhatian publik. Keberhasilan Dark Angels pada 2024, khususnya pembayaran tebusan rekor, telah menimbulkan kekhawatiran bahwa taktik mereka dapat ditiru oleh kelompok penjahat siber lainnya, yang berpotensi meningkatkan serangan ransomware yang sangat terarah dan bernilai tinggi di berbagai sektor.
RedLine: Pencuri Kredensial
Tidak semua “Malware Paling Berbahaya” kami adalah kelompok ransomware, dan RedLine Stealer telah menjadi salah satu ancaman paling menonjol pada 2024, terutama karena kemampuannya untuk mencuri kredensial dan data sensitif di berbagai sektor. Sepanjang 2024, RedLine menunjukkan efektivitasnya dengan mencuri lebih dari 170 juta kata sandi hanya dalam periode enam bulan, menyoroti dampaknya yang besar. Kemampuan malware ini berkembang untuk tidak hanya mencuri kata sandi, tetapi juga rincian kartu kredit, dompet kripto, dan data browser. Kemampuan adaptasinya dan pembaruan yang sering memungkinkan malware ini untuk menghindari banyak langkah keamanan, menjadikannya ancaman yang terus ada di berbagai sektor.
Metode distribusi RedLine tetap beragam, dengan email phishing dan situs web berbahaya sebagai vektor utama. Operator malware ini terus menyempurnakan taktik mereka, sering kali menyamarkan RedLine sebagai pembaruan perangkat lunak yang sah atau unduhan yang menggoda. Pendekatan ini memungkinkan mereka untuk melewati langkah-langkah keamanan tradisional dan menginfeksi sejumlah besar sistem. Dampak RedLine meluas tidak hanya ke pengguna individu tetapi juga mempengaruhi perusahaan besar dan infrastruktur kritis. Beberapa pelanggaran profil tinggi yang dikaitkan dengan RedLine pada 2024 mengakibatkan kerugian finansial yang signifikan dan kerusakan reputasi bagi organisasi yang terkena dampak.