Cyberthreat.id – Peneliti ungkap operator di balik ransomware Maze dan Egregor berhasil mengumpulkan setidaknya US$75 juta (setara Rp1 triliun lebih) dari uang tebusan yang dibayarkan oleh korban serangan mereka di seluruh dunia.

Dikutip dari The Record yang diakses pada Sabtu (10 April 2021),  perusahaan keamanan Analyst1 meyakini  pendapatan operator dibalik Maze dan Egregor yang dilaporkan setidakya sekitar US$75 juta. Jumlah itu diyakini lebih banyak  lagi karena banyak korban yang tidak melaporkan secara terbuka ketika mereka membayar tebusan.

Seperti diketahui, ransomware adalah jenis serangan siber yang menyerang sistem untuk menyandera datanya dengan cara mengenkripsi sistem. Untuk membuka enkripsi operator ransomware meminta uang tebusan kepada korban yang jumlahnya bisa berlipat ganda jika korban telat membayar. Pembayaran biasanya menggunakan uang kripto seperti Bitcoin untuk menghindari pelacakan oleh sistem perbankan.

Temuan Analyst1 ini sesuai dengan laporan serupa dari perusahaan analisis blockchain Chainalysis, yang mengungkapkan bahwa kelompok dibalik Maze adalah yang terbanyak ketiga mendapat pembayaran setelah  Ryuk dan Doppelpaymer. (Lihat: Melonjak Tiga Kali Lipat, Geng Ransomware Raup Hampir Rp5 Triliun pada 2020)

Menurut laporan Analyst1 [PDF]  yang diterbitkan minggu ini, periode aktivitas Maze yang terus meningkat berdasarkan transaksi yang dapat dilacak perusahaan di blockchain publik. Namun, keberhasilan ini juga menarik perhatian penegak hukum, yang mulai menginvestasikan banyak sumber daya untuk menyelidiki dan melacak kelompok tersebut.

Maze merupakan salah satu aktor ancaman yang sudah aktif sejak Mei 2019. Kelompok ini mengelola RaaS (Ransomware-as-a-Service), yang memungkinkan pelaku ancaman lainnya menyewa akses ransomware mereka.

Meskipun ada banyak geng ransomware yang beroperasi dengan skema RaaS, tetapi  Maze membuat namanya terkenal dengan membuat "situs kebocoran"  sebagai bentuk pemerasan ganda, di mana mereka sering mencantumkan perusahaan yang menjadi korban.

Hal itu dilakukan untuk menekan para korban agar membayar tuntutan tebusan dan nama mereka dihapus dari situs. Jika korban menolak, operator Maze akan membocorkan sampel data yang mereka curi dari jaringan korban sebelum mereka mengenkripsi data mereka.

“Korban yang memulihkan dari cadangan dan menolak untuk membayar, akan mengalami kebocoran data puluhan GB file internal secara online,” ungkap Analyst1.

Namun, untuk alasan yang masih belum diketahui, grup tersebut mengalihkan operasi backend-nya pada musim gugur 2020, ketika meluncurkan RaaS baru untuk jenis ransomware Egregor sambil mematikan Maze RaaS pada November 2020. (Lihat: Geng Ransomware Maze Pergi, Datanglah Egregor!)

Namun, seperti yang ditemukan oleh beberapa perusahaan keamanan pada akhir tahun 2020, ransomware Egregor berisi kode yang mirip dengan varian Maze yang lebih lama, dan kelompok tersebut melanjutkan dengan taktik pemerasan yang sama, yang membuat penyelidik secara resmi mengaitkan kedua operasi tersebut.

“Kode dan teknik serangan yang saling tumpang tindih antara dua layanan ini, para peneliti keamanan mulai disebut grup Maze + Egregor dengan nama Twisted Spider,” tambah Analyst1.

Saat ini, kelompok Maze atau Egregor sedang dalam masa jeda, setelah menghentikan operasinya setelah pejabat Prancis dan Ukraina menangkap tiga anggotanya pada pertengahan Februari, termasuk seorang anggota tim intinya. (Lihat: Anggota Geng Hacker Ransomware Egregor Ditangkap di Ukraina) []

Editor: Yuswardi A. Suud