Cyberthreat.id – Bandit-bandit ransomware yang sejak 2019 menjadi momok di dunia keamanan siber mulai terlihat menurun menggunakan pemerasan ganda (double extortion).

Frekuensi unggahan yang dirilis di situs web pemerasan ransomware di dark web memang mengalami kenaikan stabil pada 2020. Lalu, data mengalami puncaknya dengan 521 korban pada Desember lalu.

Namun, kini jumlah itu menyusut hampir setiap bulan pada tahun ini dan jumlah korban menyusut hanya 129 korban pada Juni lalu—jumlah terendah sejak Agustus 2020, demikian analisis Recorded Future, perusahaan cybersecurity asal AS, Sabtu (30 Juli 2021).

Pemerasan ganda mulai dikenal di kalangan ransomware sejak geng Maze memelopori taktik tersebut. Cara ini kemudian ditiru banyak bandit-bandit ransomware lain untuk bisa mendapatkan uang.

Pemerasan ganda bermula dari peretas lebih dulu mencuri data sebelum mengenkripsi file-file di komputer korban, lalu mengancam korban dengan merilis data curian itu ke publik, kecuali uang tebusan dibayarkan.

Allan Liska, peneliti ransomware di Recorded Future yang melacak situs web kebocoran data yang dioperasikan oleh bandit-bandit ransomware, menduga penurunan unggahan di situs web itu kemungkinan karena taktik tersebut mulai dianggap tidak menghasilkan lebih banyak uang.

Di kalangan peneliti keamanan siber dan jurnalis, kata dia, publikasi data curian memang tampak masuk akal untuk mendapatkan uang tebusan. Akan tetapi, “Kami melihat dari waktu ke waktu (ternyata) perusahaan tidak benar-benar menghiraukan jika data mereka diunggah di situs web pemerasan. Geng ransomware juga tidak selalu memiliki taktik psikologis jenius seperti yang kita pikirkan,” ujar Allan.

Dalam beberapa bulan terakhir, geng Babuk telah menarik diri dari mengunggah data korban di situs web kebocoran data. Mereka kini fokus pada permintaan ransomware seperti biasa dan melakukan jenis kejahatan siber lainnya.

“Kami melihat peretas fokus sepenuhnya pada pemerasan, dan dua bulan kemudian mereka kembali ke ransomware—ternyata tidak ada yang mau membayar untuk menghentikan publikasi data perusahaan,” ujar dia.

Bandit ransomware besar lainnya, seperti Avaddon, REvil, dan Clop telah menutup situs web kebocoran datanya karena sejak beberapa bulan terakhir mendapat sorotan dari penegak hukum.

Alasan lain mengapa situs web kebocoran data menurun, menurut Allan, karena taktik itu dipandang sebagai kewajiban bagi geng tersebut. Mereka diharuskan secara terbuka mengekspose lebih banyak infrastruktur mereka ke situs web pemerasan. Namun, langkah ini justru dianggap dapat mempermudah penegakan hukum untuk menutup operasi mereka.

Selain itu, mengekspose infrastruktur juga dapat mendorong korban bekerja sama dengan penegak hukum karena taktik tersebut membuat perusahaan tidak mungkin menyembunyikan serangan ransomware.

Bagi Allan, poin terakhir tersebut berpotensi memaksa perusahaan untuk memberikan perhatian pada serangan ransomware. “Salah satu hal yang dilakukan situs web pemerasan adalah mengungkap seberapa besar masalah ransomware yang terjadi,” katanya.

“Kebanyakan serangan ransomware, tidak seperti insiden di Colonial Pipeline, tidak ada yang tahu tentang mereka karena perusahaan tidak ingin mempublikasikannya. Sekarang ransomware menjadi berita terus-menerus, karena penyerang mempublikasikannya,” ia menambahkan.

Colonial Pipeline adalah operator jaringan pipa bahan bakar terbesar di Pantai Timur AS. Perusahaan mengalami serangan ransomware DarkSide pada 7 Mei lalu.[]