Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sejak tahun lalu, geng peretas (hacker) ransomware mengubah pola pemerasan. Mereka mencuri data korban terlebih dulu sebelum mengkripsinya. Data curian tersebut kemudian digunakan sebagai trik untuk memaksa korban membayar.
Ransomware adalah perangkat lunak jahat (malware) yang dipakai penjahat siber/peretas untuk mengunci jaringan komputer korban. Salah satu contoh yang paling terkenal dan terjadi di Indonesia adalah ransomware WannaCry.
Setelah malware mengenkripsi jaringan komputer korban, peretas akan memunculkan sebuah pesan berupa uang tebusan. Jika uang tebusan tidak dibayar, biasanya hacker meminta dalam bentuk mata uang kripto (cryptocurrency), data curian diancam akan dihapus atau dipublikasikan di internet.
Dikutip dari BleepingComputer, Selasa (26 Mei 2020), saat ini banyak geng ransomware telah membuat situs web khusus data-data curian lantaran para korbannya memilih tidak membayar tebusan. Berikut ini daftarnya:
AKO
AKO Ransomware mulai beroperasi pada Januari 2020 ketika mereka mulai menargetkan jaringan perusahaan dengan layanan desktop jarak jauh yang terbuka. AKO cenderung menargetkan perusahaan besar. Ancamannya: uang tebusan atau data yang dicuri dihapus. Jika pembayaran tidak dilakukan, data korban dipublikasikan di Data Leak Blog.
CL0P
CL0P sebagai varian “CryptoMix” dan berubah menjadi ransomware pilihan untuk grup APT—peretas yang diduga berafiliasi dengan suatu negara—yang dikenal sebagai “TA5050”. Grup ini mendapat perhatian media setelah mengenkripsi 267 server milik Maastricht University.
Pada Maret 2020, CL0P merilis situs web data curian: CL0P^-LEAKS.
DoppelPaymer
Pada Juli 2019, grup ransomware baru muncul dijuluki BitPaymer. Peneliti keamanan siber Crowdstrike menduga geng DoppelPaymer adalah anggota kelompok BitPaymer memisahkan diri dan menciptakan ransomware sendiri.
DoppelPaymer menargetkan korbannya melalui peretasan desktop jarak jauh dan akses yang diberikan oleh trojan Dridex.
Februari 2020, DoppelPaymer meluncurkan situs data curian: Dopple Leaks. Melalui situs webnya, mereka mengancam menjual data di darkweb jika korban tidak membayar uang tebusan.
Maze
Maze adalah geng hacker yang memulai pertama kalinya taktik mencuri data dulu, lalu mengenkripsinya. Pertama kali terlihat pada Mei 2019, Maze dengan cepat meningkatkan serangan mereka melalui eksploitasi kit, spam, dan pelanggaran jaringan.
Pada November 2019, Maze menerbitkan data curian Allied Universal karena tidak membayar uang tebusan. Sejak itu, mereka mulai menerbitkan data curian lain di forum hacker dan situs web sendiri.
Sejak itulah, grup ransomware lain meniru Maze.
Korban Maze selama ini seperti asuransi siber Chubb, Pemkot Pensacola, Konstruksi Bouygues, dan Banco BCR.
Nemty
Awalnya diluncurkan pada Januari 2019 sebagai Ransomware-as-a-Service (RaaS) bernama JSWorm. Ransomware berganti nama menjadi Nemty pada Agustus 2019. Nemty juga menggunakan berbagai serangan, termasuk eskploitasi kit, spam, Remote Desktop Protocol [metode untuk komputer jarak jauh] (RDP) hack, dan trojan.
Pada Maret, Nemty membuat situs web data curian. Namun, situs ini tidak dapat diakses saat ini.
Nephilim
Pada 30 Maret, Nemty mulai membangun tim afiliasi baru untuk RaaS pribadi bernama Nephilim. Tidak seperti Nemty, RaaS ini gratis untuk siapa saja yang bergabung. Nephilim dibangun “dari bawah ke atas” dengan merekrut distributor dan peretas malware yang berpengalaman.
Setelah itu mereka membuat situs web Corporate Leaks untuk mempublikasikan data korban yang dicuri yang menolak membayar tebusan.
Netwalker
Dimulai sebagai ransomware Mailto pada Oktober 2019, ransomware ini berganti nama menjadi Netwalker pada Februari 2020. Terkenal karena serangannya terhadap perusahaan logistik Australia Toll Group, Netwalker menargetkan jaringan perusahaan melalui peretasan desktop jarak jauh dan spam.
Pada Mei 2020, Netwalker mulai merekrut afiliasi dengan iming-iming pembayaran besar dan merilis situs web data curian untuk menakuti korban agar segera membayar.
Psya (Mespinoza)
Psya pertama kali muncul pada Oktober 2019. Saat itu beraksi dengan ekstensi .locked untuk file yang dienkripsi dan beralih ke ekstensi .psya pada November 2019.
Ransomware ini menargetkan jaringan perusahaan. Tim Respons Insiden Keamanan Komputer Perancis (CERT-FR) telah merilis laporan lengkap tentang taktik, teknik, dan prosedur (TTP) mereka. Psya membuat situs web curian: Psya Homepage.
RagnarLocker
Pertama kali terlihat pada Februari 2020, RagnarLocker adalah ransomware pertama yang menargetkan dan menghentikan proses yang digunakan oleh Managed Service Providers (MSP). Taktik ini menunjukkan bahwa mereka menargetkan jaringan perusahaan dan menghentikan proses ini untuk menghindari deteksi oleh MSP dan membuatnya lebih sulit dihentikan.
RagnarLocker mendapat perhatian media setelah mengenkripsi raksasa energi Portugal Energias de Portugal (EDP) dan meminta tebusan 1.580 Bitcoin. RagnarLocker telah membuat situs web Ragnar Leaks News.
REvil/Sodinokibi
Sodinokibi mulai beroperasi pada April 2019 dan diyakini sebagai penerus GandCrab yang telah “tobat” . Ransomware yang juga dikenal sebagai REvil ini menjadi momok di jaringan perusahaan setelah merekrut tim afiliasi all-star yang fokus pada serangan tingkat tinggi menggunakan eksploitasi kit, MSP yang diretas, dan spam.
Para korban ransomware REvil seperti Grubman SHire Meiselas & Sacks (GSMLaw), SeaChange, Travelex, Kenneth Cole, dan GEDIA Automotive Group. Sodinokibi mengikut Maze yang mana mulai menerbitkan file-file curiannya.
Memiliki situs web data curian bernama Happy Blog. khusus.
Sekhmet
Sekhmet muncul pada Maret 2020. Operator membuat situs web berjudul Leaks leaks and leaks untuk mempublikasikan data yang dicuri dari korban.
Snatch
Beroperasi sejak akhir 2018, Snatch adalah salah satu infeksi ransomware pertama yang mencuri data dan mengancam untuk mempublikasikannya.
Mereka sebelumnya memiliki situs kebocoran yang dibuat di beberapa alamat browser TOR, tetapi sejak saat itu mereka telah ditutup. Tidak diketahui apakah mereka terus mencuri data.
Dibocorkan di forum hacker
Beberapa geng ransomware juga tidak memiliki situs khusus mereka, tapi tetap membocorkan data. Alih-alih membuat situs web sendiri, mereka memilih membocorkan file curian di forum peretas atau dengan mengirim email ke media. Berikut daftarnya:
CryLock
Beroperasi sejak 2014 atau 2015, ransomware yang dikenal sebagai Cryakl berganti nama tahun ini sebagai CryLock. Sebagai bagian dari perubahan nama, mereka juga mulai mencuri data dari perusahaan sebelum mengenkripsi file mereka dan membocorkannya jika tidak dibayar.
ProLock
ProLock dimulai sebagai PwndLcker pada 2019 ketika mereka mulai menargetkan jaringan perusahaan dengan tuntutan tebusan berkisar antara US$175.000 hingga lebih dari US$660.000. Mereka kemudian mengganti nama menjadi ProLock.
Snake
Snake mulai beroperasi pada awal Januari 2020. Baru-baru ini, Snake merilis data pasien untuk operator rumah sakit Prancis, Fresenius Medical Care.[]
Redaktur: Andi Nugroho
Share: