Cyberthreat.id – Sekarang usianya 55 tahun, tapi kisah dunia hitamnya bermula pada 3 tahun sebelumnya. Oktober 2018 menjadi titik balik Alla Witte yang tadinya bermimpi menjadi programmer komputer, menghasilkan uang dari keahliannya, tapi justru merambah dunia peretas jahat (black hat).

Witte ialah orang Rusia dan memiliki gelar pendidikan matematika terapan. Namun, ada sisi lain yang ingin dikejarnya di dunia komputer. Pada tahun itu, ia terjun sebagai pengembang amatir, menjadi roda penggerak utama sindikat kejahatan siber di balik operasi malware “Trickbot”.

Kala menulis kode-kode jahat itu, ia memakai nama identitas “Max”, demikian dakwaan federal AS yang dibuka pada 8 Februari lalu setelah ia ditahan di Miami, dikutip dari The Strait Times, diakses Minggu (27 Juni 2021).

Witte salah satu dari tujuh tersangka anggota geng Trickbot yang menghadapi dakwaan atas peran penipuan global, pencurian data, dan operasi ransomware yang berakar kuat di Rusia, Ukraina, dan Belarusia.

Trickbot dikenal sebagai salah satu trojan paling aktif sejak 2019; masuk 10 besar malware terpopuler bersama Emotet dan Ramnit. Kemampuan malware yang dibuat dengan bahasa program C++ ini ialah mencuri data perbankan. Trickbot bersifat modular, artinya penyerang bisa menggunakan modul tertentu dari Trickbot untuk serangan dan target tertentu. Sejauh ini, Mitre.org mencatat sedikitnya ada 29 teknik yang digunakan Trickbot.

Nama Trickbot itu bermula dari temuan perusahaan keamanan siber, Malwarebytes, pada 2016. Saat itu ditemukan bot baru yang bekerja mirip trojan Dyre (Dyreza). Berdasarkan teks yang ditemukan di dalam kodenya,  Jérôme Segura, sang periset, menamakannya Trickbot.

Trojan tersebut menginfeksi melalui malvertising, iklan palsu, yang mengandung Rig Exploits Kit (EK). Malware ini biasanya berupa kode Javascript yang kemudian mendownload Trickbot ke komputer korban yang mengunjungi situs web terinfeksi.

Di tahun berikutnya, Trickbot menjadi trojan perbankan paling memusingkan, menurut IBM X-Force Research. Setelah menyerang institusi perbankan di  Eropa, Australia, kemudian Amerika Serikat, trojan ini melebarkan serangan ke Amerika Latin, antara lain Argentina, Chile, Columbia, dan Peru. Trickbot memakai botnet Necrus untuk menyebarkan email spam.

EternalBlue atau MS17-010 adalah celah keamanan di Server Message Block (SMB), protokol jaringan Windows. Trickbot menggunakan celah ini untuk mengidentifikasi semua komputer dalam jaringan. Berbeda dengan ransomware WannaCry dan NotPetya yang menyebar secara brutal, Trickbot tampaknya hanya menguji kegunaan EternalBlue. Seperti umumnya trojan, Trickbot memilih beraksi diam-diam dan mencuri data ketimbang menyebar tanpa terkendali dan memunculkan kepanikan.

---

Alla Witte saat ditangkap. | Foto: Cleveland.com

---

Pada 2019, para periset dari perusahaan keamanan FireEye dan CrowdStrike merilis laporan tentang Trickbot yang digunakan untuk menyebarkan ransomware Ryuk. Agaknya, dua kelompok penjahat siber yang berbeda sudah punya kesepakatan bisnis. Trickbot diduga disewa operator Ryuk untuk mendapatkan akses ke jaringan yang terinfeksi trojan tersebut. Trickbot masuk melalui lampiran file MS Word yang disusupi macro. Setelah mendapatkan akses jarak jauh, Trickbot akan menginfeksi jaringan dengan Ryuk. (Baca: Trickbot: Malware Siluman yang Punya Banyak Trik)

Ketika kasus virus corona melonjak di Amerika Serikat, aparat hukum setempat juga sempat mengeluarkan peringatan ancaman siber di penyedia layanan kesehatan, tak terkecuali dari geng Trickbot.

Alla “Klimova” Witte lahir pada 1965 dan dibesarkan di sepanjang Laut Hitam di sebuah kota di Rusia, Rostov-on-Don. Sebelum jatuhnya Uni Soviet, pada 1983 dia pindah ke Riga, Latvia untuk belajar Matematika Terapan di Universitas Latvia. Di negara itu, ia tinggal selama beberapa tahun setelah Latvia menjadi negara yang terpisah. Di tahun-tahun itu, ia pernah menjadi manajer pemasaran dan guru, tapi minat terbesarnya ialah programming.

Jika melihat perawakannya, ia tak menunjukkan tampang gahar seorang peretas; tak terlihat minatnya di dunia hitam komputer. Ia cenderung telihat sebagai orang yang baik-baik saja.

Pada 2004, ia mendapat pekerjaan dengan Uni Eropa AOSH Belanda Setelah menikah pada 2007, ia bersama keluarga pindah ke Amsterdam, Belanda. Bersama suaminya, ia berkeliling dunia menikmati hidup dan banayak pengalamannya itu dibagikan dengan keluarganya. Namun, beberapa tahun terakhir, keluarganya telah pindah ke Surinami di Amerika Selatan, demikian tulis perusahaan keamanan siber Hold Security di situs webnya, pada 7 Juni 2021.

Namun, ia mulai berkecimpung di dunia pengembangan situs web pada 2013. Dalam unggahan di akun medsosnya, ia pernah bertekad untuk mendapatkan kesuksesan di karier barunya itu. “Saya ingin menjadi programmer hebat yang mampu menciptakan solusi eksklusif dan melakukan perjalanan ke klien di berbagai negara…,” tulisnya.

Ia membuat situs web sendiri, allawette.nl, untuk memamerkan keterampilan programming-nya dengan sampel aplikasi real estate hingga layanan taksi.

Menjelang Okober 2018, atau hampir enam tahun ia menjalani profesi di dunia komputer, Witte bergabung ke geng Trickbot. Di pekan pertamanya, ia menulis kode untuk melacak ratusan pengguna yang memakai senjata malware-nya, demikian menurut dakwaan. Ia pun membuat video tutorial yang menunjukkan mitra bisnis Trickbotnya cara menggunakan perangkat lunak pelacakan.

Selama setahun bergabung di geng itu, ia telah menulis kode untuk panel web yang digunakan Trickbot untuk menyimpan database besar dari data curian, termasuk sistem kode-warna sehingga sesama pengguna dapat memantau perkembangan setiap peretasan, menurut dakwaan.

Dalama dakwaan juga disebutkan, ia yang menulis kode untuk mengontrol penyebaran ransomware, termasuk catatan tebusan yang diterima korban yang menyatakan bahwa sistem komputer mereka telah dienkripsi.

Alex Holden, pendiri perusahaan investigasi siber Hold Security, mengatakan Witte menggunakan situs web pribadinya untuk mendistribusikan Trickbot.

Menurut Alex, rekan-rekannya di geng itu sudah akrab dengan identitas "Max". "Hampir seperti mereka akan memanggil ibu mereka," kata Holden, yang berspesialisasi dalam pelacakan Trickbot.

Namun, karier hitam Witte terhenti di Januari 2020. Penangkapannya dianggap jauh lebih serius ketimbang penangkapan administrator malware Emotet.

Witte bukan dalang kriminal juga bukan penjahat dunia maya biasa. Namun, sebagai bagian dari geng Trickbot, dia harus menjadi peringatan.

Ketika sebagian anggota geng ditangkap pada tahun lalu, pada Januari 2021, perusahaan keamanan siber Menlo Security, menemukan: Trickbot sedang membangun kembali operasinya. (Baca: Diberantas Microsoft dkk, Malware TrickBot Bangkit Lagi dengan Taktik Baru)[]