Cyberthreat.id – Tak ada teman atau musuh abadi, yang ada kepentingan abadi.

Adagium itu kiranya bisa menggambarkan konflik yang sedang terjadi di bisnis ransomware REvil.

Baru-baru ini, “mitra kerja” atau biasa disebut afiliasi REvil menuding bahwa geng peretas tersebut “main belakang” secara diam-diam yang mengganggu operasi siber.

REvil alias Sodinokibi, geng peretas canggih berbahasa Rusia, aelama ini dikenal menyewakan malware-nya kepada penjahat siber lain—istilah ini disebut denga Ransomware-as-as-Service (RaaS)—di mana mitranya mendapat keuntungan sekitar 70 persen dari pemerasan korban, sedangkan REvil mendapatkan sisanya.

Di forum peretasan berbahasa Rusia, XSS dan Exploit, seorang peretas jahat mengeluhkan lantaran REvil ternyata menaruh “pintu belakang” (backdoor) rahasia dalam kode ransomware-nya. Pintu ini yang memungkinkan geng tersebut mencuri hasil tebusan korban dari mitra, demikian tulis perusahaan keamanan siber Flashpoint di blog perusahaan, diakses Jumat (1 Oktober 2021).

Biasanya peretas membuat “pintu belakang” di sistem yang terinfeksi atau perangkat korban, tapi sekarang peretas justru menaruh akses khusus di malware buatannya.

“Pada 20 September, seorang peretas diduga meenemukan ‘cryptobackdoor’ dalam kode sampel REvil dan menggunggah temuan itu di Exploit,” tutur Flashpoint.

Perusahaan berkantor di New York, AS itu menuturkan, kode tersebut memungkinkan REvil memulihkan file enkripsi buatannya sendiri, tanpa melibatkan mitra yang menyewa malware-nya.

“REvil diduga membajak negosiasi mitra dengan korban untuk mengeruk uang tebusan sendiri tanpa membagikan dengan mitra,” tulis Flashpoint.

Menurut peneliti Flashpoint, kode rahasia itu kemungkinan telah terungkap sejak beberapa bulan lalu, tapi baru terlihat pada 20 September lalu.

Grup peretas “Signature”, tulis Flashpoint, yang bereaksi di Exploit menuturkan bagaimana permintaan uang tebusannya kepada korban sebesar US$7 juta gagal begitu saja. Hal ini yang memicu mereka mengungkapkan kode rahasia REvil itu di forum.

“Ada kemungkinan operator REvil masuk ke dalam negosiasi Signature dengan menyamar sebagai perusahaan korban, dan tiba-tiba mengakhiri negosiasi tersebut,” sebut Signature, dikutip Flashpoint.

Namun, tudingan itu dicemooh oleh geng ransomware LockBit. LockBitSupp, perwakilan ransomware LockBit di Exploit, menimpali hal itu dengan mengatakan bahwa banyak mitra REvil menaruh curiga terhadap REvil.

Beberapa anggota komunitas peretas lain juga mencibir tudingan itu. “Seorang pengguna Exploit mengatakan bahwa ini pertama kalinya mendengar kelompok ransomware besar mencuri keuntungan dari mitra mereka,” tutur Flashpoint.

Peneliti Flashpoint mencatat bahwa permusuhan terhadap pelaku ancaman yang terlibat ransomware sebetulnya telah berlangsung sejak lama, setidaknya ketika serangan ransomware menyebabkan aparat hukum meningkatkan penyelidikannya terhadap geng-geng peretas itu.

Seorang peretas di XSS mengatakan bahwa "Iblis sendiri tidak akan dapat menemukan" kasus perlawanan terhadap REvil karena masalah ini menjadi terlalu rumit.

Bagi para peretas yang merasa telah ditipu, tidak banyak yang dapat mereka lakukan. Seorang pengguna forum bahkan menuturkan, segala upaya untuk menangani masalah itu sia-sia saja, sama halnya mencoba “melawan Stalin".

Namun, Flashpoint memperingatkan ransomware tetap menjadi salah satu masalah keamanan siber utama yang dihadapi dunia saat ini.[]