Cyberthreat.id - Saat ini semakin banyak geng ransomware yang mengubah taktik dalam melakukan kejahatannya. Pertama-tama, geng kriminal ini melakukan pengintaian ekstensif untuk menemukan dan mencuri informasi sensitif sebelum melakukan enkripsi data. 

Tahapan awal ini sangat menentukan karena akan membantu hacker dalam menjual file-file yang dicuri atau ditawarkan di forum bawah tanah. Itu terjadi ketika korban tidak bersedia memenuhi kesepakatan yang diusulkan (dipaksa membayar tebusan).

Skema ini disebut sebagai Data Dumping. Operator ransomware menjual data melalui Dark Web atau melalui blog dan website yang sengaja dibuat untuk 'membuang' data tersebut. Taktiknya disebut double extortion atau pemerasan ganda.

Baru-baru ini operator ransomware REvil (Sodinokibi) membuat semacam situs seperti eBay untuk melelang data yang dicuri dari korban. Geng REvil menamai situs itu "The Happy Blog" yang saat ini mengiklankan lelang data untuk dua perusahaan.

Kebocoran data pertama berasal dari distributor makanan dan hasil panen pertanian. Geng REvil menjanjikan lebih dari 10.000 file curian yang berisi analisis arus kas rahasia, data distributor, informasi vendor, data asuransi bisnis, dan banyak lagi.

Tempat pembuangan data kedua menawarkan dokumen akuntansi, perincian akun, dan informasi penting lainnya yang bernilai bagi pesaing atau pihak yang berkepentingan dari sebuah perusahaan pertanian Kanada.

Meskipun tren mencuri dan membocorkan data dimulai oleh kelompok ransomware Maze pada November 2019, tren itu menyebar dengan cepat di antara kelompok hacker dan operator ransomware yang segera dianut oleh kelompok kriminal lainnya.

Beberapa waktu lalu operator ransomware Sodinokibi membocorkan file yang dicuri dari perusahaan penyedia listrik di Amerika Serikat (AS), Elexon. Kebocoran tersebut berisi file dan data yang sangat sensitif dan rahasia, kata para ahli. Operator Sodinokibi kemudian menerbitkan 1.280 file di sebuah situs yang menawarkan data.

Kelompok ransomware CLoP juga membocorkan data ExecuPharm di forum bawah tanah. Server raksasa perusahaan farmasi AS diserang itu melalui email phishing pada 13 Maret. Membocorkan data karyawan sekaligus membahayakan informasi perusahaan dan beberapa staf tertentu.

Kemudian operator ransomware Maze merilis bagian kedua dari informasi kartu kredit pelanggan Banco de Costa Rica (BCR) pekan lalu. Total data yang bocor adalah 11 juta kredensial kartu kredit nasabah.

BCR adalah salah satu bank komersial milik negara terbesar di Kosta Rika. BCR diiserang untuk kedua kalinya oleh geng ransomware Maze setelah bank tersebut gagal mengamankan jaringan hingga terjadi sebuah insiden Agustus 2019.

Mencari data yang dibuang

Dilansir Cyware Hacker News, sejumlah situs maupun blog digunakan oleh operator ransomware untuk dumping data. Berikut ini beberapa tempat pembuangan data tersebut:

1. Aktor di balik ransomware AKO membocorkan data korban di "Data Leak Blog."

2. Geng CLoP merilis datanya di situs kebocoran yang disebut 'CL0P ^ -LEAKS.'

3. Geng ransomware DoppelPaymer meluncurkan situs web khusus kebocoran data yang disebut "Dopple Leaks."

4. Trendsetter, Labirin, juga memiliki situs web untuk data yang bocor, tetapi untuk sementara ini namanya belum tersedia.

5. Nemty juga memiliki situs kebocoran data untuk menerbitkan data korban, tetapi baru-baru ini situs dan blog tersebut tidak dapat dijangkau.

6. Situs pembuangan data grup Nephilim ransomware disebut 'Kebocoran Korporat' (Corporate Leaks).

7. NetWalker yang sebelumnya dikenal Mailto ransomware, memiliki situs kebocoran data penerbitan otomatis yang menggunakan hitungan mundur untuk menakuti korban agar segara membayar tebusan.

8. Operator ransomware Pysa memiliki situs kebocoran data yang disebut 'Pysa Homepage.'

9. Ragnar Locker menerbitkan data yang dibajak di situs 'Ragnar Leaks News'.

10. Operator Sekhmet memiliki situs berjudul 'Kebocoran dan Kebocoran' (Leaks leak and Leaks).

11. Geng ransomware Snacth sebelumnya memiliki situs tetapi sekarang telah di-takedown. Mereka juga tak bisa dilacak dalam beberapa insiden baru-baru ini.

12. Grup ransomware CryLock, ProLock, dan Snake tidak memiliki situs kebocoran, tetapi kelompok ini  mengungkapkan dan menginformasikan kebocoran data dengan cara tertentu agar diketahui korban.

Beberapa kelompok ransomware lain terus menerus mengembangkan modus operandi agar lebih efektif dalam melancarkan serangan dan mendapat uang tebusan.[]