Cyberthreat.id - Jika masih ada pihak yang berpikir bahwa dengan memiliki data cadangan untuk melindungi dari serangan Ransomware, maka sebaiknya hilangkan pola pikir itu sekarang juga. Ibaratnya, mantra "data cadangan" sudah hilang karena geng Ransomware telah meningkatkan taktiknya dengan mencuri data korban lalu melelangnya (melalui situs web) yang ditawarkan di Dark Web dan berbagai forum agar bisa menghasilkan uang dengan cepat.

Diprakarsai oleh operator ransomware Maze pada bulan November 2019 dan diikuti oleh 12 geng ransomware lainnya, taktik penjualan data melalui lelang ini mulai berlaku ketika banyak organisasi/perusahaan korban menolak membayar tebusan.

Taktik ini dikenal dengan "Naming and Shaming" yang bisa bermakna penamaan baru di data korban dengan tujuan untuk mempermalukan korban karena tidak bersedia membayar tebusan.

Taktik ini mampu menciptakan lebih banyak tekanan kepada korban dengan mengancam organisasi yang ditargetkan untuk membuang data (data dumping) secara online. Pada akhir Januari 2029, geng ransomware Maze merilis data beberapa korban sebagai upaya untuk memeras dan mendapat uang.

Pola ini kemudian berkembang ketika geng Maze berkolaborasi dengan geng RagnarLocker ransomware dan geng LockBit ransomware. Kemitraan ini melibatkan penggunaan bersama platform kebocoran data yang dibuat oleh TA2101, geng di belakang ransomware Maze.

Dengan berbagi sumber daya dan data intelijen secara kolektif, geng Maze bersama dengan geng ransomware lainnya diperkirakan akan meluncurkan serangan yang lebih efektif terhadap para korban melalui taktik Naming and Shaming.

Gaya baru Sodinokibi

Grup ransomware REvil alias Sodinokibi baru-baru ini memperbaiki permainan pemerasan ganda dengan menambahkan fitur "Lelang" ke situsnya yang kemudian disebarkan di Dark Web dan berbagai forum.

Seperti dilansir Threatpost, kapabilitas fitur Lelang itu muncul pada awal Juni, dengan lot pertama berisi informasi akuntansi, file, dan database yang dicuri dari perusahaan pertanian Kanada.

Korban lain yang datanya ditawarkan untuk dijual dalam pelelangan termasuk distributor makanan AS (dengan harga awal $ 100.000) dan firma hukum A.S (antara $ 30.000 dan $ 50.000).

Taktik itu menjadi perhatian besar ketika para penyerang mulai melelang informasi sensitif yang dicuri dari firma hukum asal AS, Grubman Shire Meiselas & Sacks. Firma itu memiliki banyak klien selebriti Hollywood dan tokoh populer seperti John Mellencamp, Elton John, David Letterman, Robert DeNiro, Christina Aguilera, Barbra Streisand, Bruce Springsteen, dan Madonna serta banyak entitas korporat terkenal.

Geng REvil mengklaim telah menghasilkan $ 1 juta dengan menjual data yang berkaitan dengan Presiden AS Donald Trump. Entah benar atau tidak, tetapi memang banyak klien Grubman Shire Meiselas & Sacks berasal dari kalangan atas dan terkenal.

Kemudian, geng REvil juga menyusun jadwal lelang mulai dari tanggal 1 Juli untuk menjual dokumen yang dicuri dari selebriti seperti Mariah Carey, Nicki Minaj, Lebron James, Bad Boy Records, MTV, dan Universal. Data-data ini bisa sangat berharga bagi dunia hiburan.

Kesimpulan

Operator ransomware telah mendiversifikasi modus dan taktik serangan dengan menghasilkan uang dari data curian melalui lelang, maka ancaman yang ditimbulkan kepada organisasi/perusahaan meningkat secara signifikan. 

Geng Maze dan Sodinokibi, misalnya, tidak hanya merilis dan melelang data yang dicuri, tetapi langkah ini telah diikuti dengan promosi ke geng ransomware Ako, Clop, DoppelPaymer, Mespinoza, Nefilim, Nemty, NetWalker, Ragnar, Locker. Geng Snatch juga telah mengadopsi taktik serupa sebagaimana laporan SecurityBoulevard.