IND | ENG
15 Hacker Ransomware Pembocor Data Curian

Ilustrasi | Foto: freepik.com

15 Hacker Ransomware Pembocor Data Curian
Tenri Gobel Diposting : Jumat, 29 Mei 2020 - 12:29 WIB

Cyberthreat.id – Sejak tahun lalu, geng peretas (hacker) ransomware mengubah pola pemerasan. Mereka mencuri data korban terlebih dulu sebelum mengkripsinya. Data curian tersebut kemudian digunakan sebagai trik untuk memaksa korban membayar.

Ransomware adalah perangkat lunak jahat (malware) yang dipakai penjahat siber/peretas untuk mengunci jaringan komputer korban. Salah satu contoh yang paling terkenal dan terjadi di Indonesia adalah ransomware WannaCry.

Setelah malware mengenkripsi jaringan komputer korban, peretas akan memunculkan sebuah pesan berupa uang tebusan. Jika uang tebusan tidak dibayar, biasanya hacker meminta dalam bentuk mata uang kripto (cryptocurrency), data curian diancam akan dihapus atau dipublikasikan di internet.

Dikutip dari BleepingComputer, Selasa (26 Mei 2020), saat ini banyak geng ransomware telah membuat situs web khusus data-data curian lantaran para korbannya memilih tidak membayar tebusan. Berikut ini daftarnya:

AKO

AKO Ransomware mulai beroperasi pada Januari 2020 ketika mereka mulai menargetkan jaringan perusahaan dengan layanan desktop jarak jauh yang terbuka. AKO cenderung menargetkan perusahaan besar. Ancamannya: uang tebusan atau data yang dicuri dihapus. Jika pembayaran tidak dilakukan, data korban dipublikasikan di Data Leak Blog.

CL0P

 CL0P sebagai varian “CryptoMix” dan berubah menjadi ransomware pilihan untuk grup APT—peretas yang diduga berafiliasi dengan suatu negara—yang dikenal sebagai “TA5050”. Grup ini mendapat perhatian media setelah mengenkripsi 267 server milik Maastricht University.

Pada Maret 2020, CL0P merilis situs web data curian: CL0P^-LEAKS.

DoppelPaymer

Pada Juli 2019, grup ransomware baru muncul dijuluki BitPaymer. Peneliti keamanan siber Crowdstrike menduga geng DoppelPaymer adalah anggota kelompok BitPaymer memisahkan diri dan menciptakan ransomware sendiri.

DoppelPaymer menargetkan korbannya melalui peretasan desktop jarak jauh dan akses yang diberikan oleh trojan Dridex.

Februari 2020, DoppelPaymer meluncurkan situs data curian: Dopple Leaks. Melalui situs webnya, mereka mengancam menjual data di darkweb jika korban tidak membayar uang tebusan.

Maze

Maze adalah geng hacker yang memulai pertama kalinya taktik mencuri data dulu, lalu mengenkripsinya. Pertama kali terlihat pada Mei 2019, Maze dengan cepat meningkatkan serangan mereka melalui eksploitasi kit, spam, dan pelanggaran jaringan.

Pada November 2019, Maze menerbitkan data curian Allied Universal karena tidak membayar uang tebusan. Sejak itu, mereka mulai menerbitkan data curian lain di forum hacker dan situs web sendiri.

Sejak itulah, grup ransomware lain meniru Maze.

Korban Maze selama ini seperti asuransi siber Chubb, Pemkot Pensacola, Konstruksi Bouygues, dan Banco BCR.

Nemty

Awalnya diluncurkan pada Januari 2019 sebagai Ransomware-as-a-Service (RaaS) bernama JSWorm. Ransomware berganti nama menjadi Nemty pada Agustus 2019. Nemty juga menggunakan berbagai serangan, termasuk eskploitasi kit, spam, Remote Desktop Protocol [metode untuk komputer jarak jauh] (RDP) hack, dan trojan.

Pada Maret, Nemty membuat situs web data curian. Namun, situs ini tidak dapat diakses saat ini.

Nephilim

Pada 30 Maret, Nemty mulai membangun tim afiliasi baru untuk RaaS pribadi bernama Nephilim. Tidak seperti Nemty, RaaS ini gratis untuk siapa saja yang bergabung. Nephilim dibangun “dari bawah ke atas” dengan merekrut distributor dan peretas malware yang berpengalaman.

Setelah itu mereka membuat situs web Corporate Leaks untuk mempublikasikan data korban yang dicuri yang menolak membayar tebusan.

Netwalker

Dimulai sebagai ransomware Mailto pada Oktober 2019, ransomware ini berganti nama menjadi Netwalker pada Februari 2020. Terkenal karena serangannya terhadap perusahaan logistik Australia Toll Group, Netwalker menargetkan jaringan perusahaan melalui peretasan desktop jarak jauh dan spam.

Pada Mei 2020, Netwalker mulai merekrut afiliasi dengan iming-iming pembayaran besar dan merilis situs web data curian untuk menakuti korban agar segera membayar.

Psya (Mespinoza)

Psya pertama kali muncul pada Oktober 2019. Saat itu beraksi dengan ekstensi .locked untuk file yang dienkripsi dan beralih ke ekstensi .psya pada November 2019.

Ransomware ini menargetkan jaringan perusahaan. Tim Respons Insiden Keamanan Komputer Perancis (CERT-FR) telah merilis laporan lengkap tentang taktik, teknik, dan prosedur (TTP) mereka. Psya membuat situs web curian: Psya Homepage.

RagnarLocker

Pertama kali terlihat pada Februari 2020, RagnarLocker adalah ransomware pertama yang menargetkan dan menghentikan proses yang digunakan oleh Managed Service Providers (MSP). Taktik ini menunjukkan bahwa mereka menargetkan jaringan perusahaan dan menghentikan proses ini untuk menghindari deteksi oleh MSP dan membuatnya lebih sulit dihentikan.

RagnarLocker mendapat perhatian media setelah mengenkripsi raksasa energi Portugal Energias de Portugal (EDP) dan meminta tebusan 1.580 Bitcoin. RagnarLocker telah membuat situs web Ragnar Leaks News.

REvil/Sodinokibi

Sodinokibi mulai beroperasi pada April 2019 dan diyakini sebagai penerus GandCrab yang telah “tobat” . Ransomware yang juga dikenal sebagai REvil ini menjadi momok di jaringan perusahaan setelah merekrut tim afiliasi all-star yang fokus pada serangan tingkat tinggi menggunakan eksploitasi kit, MSP yang diretas, dan spam.

Para korban ransomware REvil seperti Grubman SHire Meiselas & Sacks (GSMLaw), SeaChange, Travelex, Kenneth Cole, dan GEDIA Automotive Group. Sodinokibi mengikut Maze yang mana mulai menerbitkan file-file curiannya.

Memiliki situs web data curian bernama Happy Blog. khusus.

Sekhmet

Sekhmet muncul pada Maret 2020. Operator membuat situs web berjudul Leaks leaks and leaks untuk mempublikasikan data yang dicuri dari korban.

Snatch

Beroperasi sejak akhir 2018, Snatch adalah salah satu infeksi ransomware pertama yang mencuri data dan mengancam untuk mempublikasikannya.

Mereka sebelumnya memiliki situs kebocoran yang dibuat di beberapa alamat browser TOR, tetapi sejak saat itu mereka telah ditutup. Tidak diketahui apakah mereka terus mencuri data.

Dibocorkan di forum hacker

Beberapa geng ransomware juga tidak memiliki situs khusus mereka, tapi tetap membocorkan data. Alih-alih membuat situs web sendiri, mereka memilih membocorkan file curian di forum peretas atau dengan mengirim email ke media. Berikut daftarnya:

CryLock

Beroperasi sejak 2014 atau 2015, ransomware yang dikenal sebagai Cryakl berganti nama tahun ini sebagai CryLock. Sebagai bagian dari perubahan nama, mereka juga mulai mencuri data dari perusahaan sebelum mengenkripsi file mereka dan membocorkannya jika tidak dibayar.

ProLock

ProLock dimulai sebagai PwndLcker pada 2019 ketika mereka mulai menargetkan jaringan perusahaan dengan tuntutan tebusan berkisar antara US$175.000 hingga lebih dari US$660.000. Mereka kemudian mengganti nama menjadi ProLock.

Snake

Snake mulai beroperasi pada awal Januari 2020. Baru-baru ini, Snake merilis data pasien untuk operator rumah sakit Prancis, Fresenius Medical Care.[]

Redaktur: Andi Nugroho

#ransomware   #databreach   #kebocorandata   #serangansiber   #ancamansiber   #pencuriandata   #enkripsi   #malware   #

Share:




BACA JUGA
Demokratisasi AI dan Privasi
Seni Menjaga Identitas Non-Manusia
Luncurkan Markas Aceh, Wamen Nezar Dorong Lahirnya Start Up Digital Baru
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Wujudkan Visi Indonesia Digital 2045, Pemerintah Dorong Riset Ekonomi Digital