Cyberthreat.id - Perusahaan penyalur bahan bakar minyak dan gas terbesar di Amerika Serikat, Colonial Pipelines, dua pekan lalu (7 Mei 2021) mengalami serangan siber yang membuat terhentinya pasokan BBM ke sejumlah negara bagian di pantai timur AS.

Mengutip sumber anonim, Bloomberg pekan lalu melaporkan Colonial Pipelines diduga telah memenuhi tuntutan geng ransomware DarkSide untuk membayar tebusan agar sistemnya yang disandera dapat kembali dipulihkan. (Lihat: Colonial Pipeline Bayar Tebusan Rp71,6 Miliar ke Geng DarkSide?)

Dalam laporan Bloomberg disebutkan, uang tebusan yang dibayarkan sejumlah hampir US$ 5 juta (Rp71,6 miliar) dalam bentuk bitcoin. Padahal, sebelumnya, Colonial mengatakan tidak akan memenuhi tuntutan pembayaran tebusan sebagaimana disarankan oleh pakar keamanan siber dan lembaga penegak hukum AS semacam FBI dan CISA, lembaga keamanan siber negara itu. Larangan itu dilakukan dengan pertimbangan agar tidak menjadi pemicu lahirnya serangan serupa oleh kelompok kriminal lain untuk mendapatkan uang tebusan.

Tampaknya, Colonial Pipelines menghadapi dilema besar: membayar uang tebusan sesuai permintaan kelompok kriminal yang menyandera data dan sistemnya, atau mengikuti anjuran penegak hukum yang bisa jadi akan membuat masa pemulihan operasionalnya berlangsung lebih lama dan berdampak pada lumpuhnya pasokan BBM dengan segala dampak ikutannya.

Dihadapkan dalam situasi seperti itu, Colonial Pipelines tampaknya memang memilih membayar uang tebusan yang diminta oleh penyandera data, meskipun hingga kini mereka masih tutup mulut tentang pembayaran uang tebusan itu.

Meskipun Colonial masih bungkam, sebuah penelusuran yag dilakukan oleh investigator kripto, Elliptic, berhasil mengidentifikasi dompet Bitcoin yang digunakan oleh geng ransomware DarkSide untuk menerima pembayaran tebusan dari korbannya.

Disebutkan, alamat dompet elektronik yang dapat ditelusuri online itu telah menerima pembayaran 75 BTC yang dilakukan oleh Colonial Pipeline pada 8 Mei, menyusul serangan siber yang melumpuhkan operasinya - yang menyebabkan kelangkaan bahan bakar yang meluas di AS.

"Analisis kami menunjukkan bahwa dompet telah aktif sejak 4 Maret 2021 dan telah menerima 57 pembayaran dari 21 dompet berbeda. Beberapa dari pembayaran ini secara langsung cocok dengan tebusan yang diketahui telah dibayarkan ke DarkSide oleh korban lain, seperti 78,29 BTC (senilai $ 4,4 juta) yang dikirim oleh perusahaan distribusi bahan kimia Brenntag pada 11 Mei," tulis Elliptic dalam publikasinya pada 14 Mei lalu.

Elliptic menemukan, bagian afiliasi (bagian dari tebusan yang masuk ke penyebaran malware) dari pembayaran tebusan Colonial Pipeline dan Brenntag dikirim ke alamat Bitcoin yang sama, menunjukkan bahwa pelakunya adalah pihak yang sama.

Selain itu, Elliptic juga menemukan adanya pembayaran tebusan yang tidak dilaporan sebelumnya sebesar US$ 320.000. Jumlah itu diterima DarkSide pada 10 Mei: bitcoin berasal dari bursa jual beli uang kripto yang sama dengan yang digunakan oleh Colonial Pipeline untuk menyetor Bitcoin yang diminta oleh DarkSide.

"Secara total, dompet DarkSide telah menerima transaksi Bitcoin sejak Maret dengan nilai total $ 17,5 juta. Tebusan yang terkait dengan serangan sebelumnya dibayarkan ke dompet lain," kata Elliptic.

Ke mana Darkside mengirim bitcoin?

Menggunakan analisis blockchain, Elliptic melacak ke mana DarkSide mengirimkan hasil ransomware, untuk mencuci uangnya atau mengubahnya menjadi uang tunai.

DarkSide sendiri dilaporkan telah menghentikan operasinya tak lama setelah menerima pembayaran. Elliptic menemukan dompet Bitcoin mereka telah dikosongkan dari saldo sebelumnya sejumlah US$ 5 juta dalam bentuk Bitcoin.  

Ada spekulasi bahwa bitcoin telah disita oleh pemerintah AS. Jika memang demikian, itu artinya tidak semua pembayaran dari Colonial Pipeline berhasil disita. Sebab, sebagian besar isi dommpet Bitcoin itu telah dikirim ke tempat lain  pada 9 Mei.

Berdasarkan penelusuran terhadap arus keluar Bitcoin dari dompet itu sebelumnya, Elliptic mengatakan bahwa 18% Bitcoin dikirim ke sekelompok kecil bursa kripto. Sedangkan tambahan 4 persen telah dikirim ke Hydra, pasar darknet terbesar di dunia, yang melayani pelanggan di Rusia dan negara-negara tetangga.

"Seperti yang kami ungkap dalam penelitian sebelumnya, Hydra menawarkan layanan pembayaran tunai bersama narkotika, alat peretasan, dan ID palsu. Ini memungkinkan Bitcoin diubah menjadi voucher hadiah, kartu debit prabayar atau uang tunai Rubel. Jika Anda seorang penjahat dunia maya Rusia dan ingin mencairkan crypto Anda, Hydra adalah pilihan yang menarik.," tulis Elliptic.

Menurut Elliptic, dengan mengidentifikasi dompet itu, penegak hukum dapat menggunakan perangkat lunak pelacakan uang kripto untuk melacak aliran dananya dan mengidentifikasi mereka yang bertanggung jawab atas serangan dunia maya yang melumpuhkan. []

Update:

• Penyalur BBM AS Colonial Pipeline Ungkap Mengapa Akhirnya Membayar Geng Ransomware Rp63 Miliar