Group-IB luncurkan buku panduan Ransomware tahunan

JAKARTA (IndoTelko) - Salah satu pemimpin keamanan siber global, Group-IB meluncurkan panduan tahunan kedua untuk evolusi ancaman nomor satu “Ransomware Uncovered 2021/2022”. 
 
Temuan ini menunjukkan bahwa ransomware mempertahankan kemenangan beruntunnya dengan permintaan tebusan rata-rata tumbuh sebesar 45% hingga mencapai $247.000 atau setara dengan Rp 3,6 milyar pada tahun 2021. Kumpulan-kumpulan ransomware telah menjadi jauh lebih rakus sejak 2020. 
 
Uang tebusan yang memecahkan rekor sebesar $240 juta atau sekitar Rp 3,5 triliun ( $30 juta atau setara dengan Rp 439 milyar pada tahun 2020) diminta oleh Hive dari MediaMarkt. Hive dan pendatang baru lainnya pada tahun 2021 di Big Game Hunting, Grief, dengan cepat mencapai 10 geng teratas dengan jumlah korban yang diposting di situs kebocoran khusus ransomware (DLS).  
 
Antara Q1 2021 dan Q1 2022, APAC menjadi wilayah ketiga yang paling sering menjadi sasaran setelah Amerika Utara dan Eropa berdasarkan analisis data korban yang diposting di ransomware DLS. Data milik 335 perusahaan dari kawasan Asia-Pasifik diunggah ke ransomware DLS dalam periode peninjauan. “Top 10 Countries” di Asia-Pasifik berdasarkan jumlah perusahaan korban yang diposting di DLS adalah sebagai berikut: Australia (68), diikuti oleh India (48), Jepang (32), China (30), Taiwan (22 ), Hong Kong (20), Thailand (19), Indonesia (17), Singapura (17), Malaysia (14).
 
Antara Q1 2021 dan Q1 2022, informasi milik 17 perusahaan Indonesia telah diposting di DLS. Conti dan Avaddon menjadi geng ransomware paling agresif dengan 3 korban dari Indonesia masing-masing diposting di DLS dalam periode peninjauan. Vertikal industri yang paling sering menjadi sasaran di Indonesia adalah Energi (3 perusahaan data diposting di DLS) dan Sektor Keuangan (3 perusahaan korban).
 
Dalam laporan ini mencatat taktik, teknik, dan prosedur (TTP) terbaru dari pelaku ancaman ransomware yang diamati di semua lokasi geografis oleh divisi Group-IB Digital Forensics and Incident Response (DFIR). Selain analisis lebih dari 700 serangan yang diselidiki sebagai bagian dari keterlibatan respons insiden Group-IB sendiri dan aktivitas intelijen ancaman siber pada tahun 2021, laporan tersebut juga memeriksa DLS ransomware.
 
Serangan ransomware yang dioperasikan manusia telah mempertahankan lingkungan ancaman dunia maya global yang dipimpin oleh margin yang solid selama tiga tahun terakhir. Munculnya broker akses awal yang dijelaskan dalam laporan, Hi-Tech Crime Trends 2021/2022, dan penularan program Ransomware-as-a-Service (RaaS), telah menjadi dua kekuatan pendorong utama di balik pertumbuhan operasi ransomware yang berkelanjutan. RaaS memungkinkan penjahat siber berketerampilan rendah untuk bergabung dalam permainan dan pada akhirnya membawa nomor korban.
 
Berdasarkan analisis lebih dari 700 serangan pada tahun 2021, para ahli DFIR Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 atau setara dengan Rp 3,6 milyar pada tahun 2021, 45% lebih tinggi dari tahun 2020. 
Ransomware berkembang dengan lebih canggih, yang terlihat jelas dari waktu henti korban, yang meningkat dari 18 hari pada tahun 2020 menjadi 22 hari pada tahun 2021. Program RaaS mulai menawarkan afiliasi mereka tidak hanya ransomware tetapi juga alat khusus untuk eksfiltrasi data guna menyederhanakan dan merampingkan operasi. 
 
Dengan demikian, teknik pemerasan ganda menjadi semakin meluas dan matang – data korban yang sensitif dieksfiltrasi sebagai pengungkit untuk mendapatkan uang tebusan yang dibayarkan pada 63% kasus yang dianalisis oleh tim DFIR Group-IB.
 
Lockbit, Conti, dan Pysa ternyata menjadi geng paling agresif dengan masing-masing 670, 640, dan 186 korban yang diunggah di DLS. Dua pendatang baru di tahun 2021, Hive and Grief (asli dari kumpulan DoppelPaymer), dengan cepat mencapai liga Big Game Hunting dari 10 geng teratas, dihitung dari jumlah korban yang diposting di DLS.
 
Sementara eksploitasi server RDP yang menghadap publik kembali menjadi cara paling umum untuk mendapatkan pijakan awal di jaringan target pada tahun 2021 – 47% dari semua serangan yang diselidiki oleh pakar DFIR Group-IB dimulai dengan mengorbankan layanan jarak jauh eksternal.
 
Email phishing tombak yang membawa malware komoditas tetap berada di peringkat kedua (26%). Malware komoditas yang digunakan pada tahap awal telah menjadi semakin populer di kalangan pelaku ransomware. Namun, pada tahun 2021 atribusi serangan ransomware menjadi semakin rumit karena banyak bot seperti Emotet, Qakbot , dan IcedID digunakan oleh berbagai pelaku ancaman tidak seperti pada tahun 2020, ketika keluarga malware komoditas tertentu memiliki afiliasi kuat dengan geng ransomware tertentu. 
 
Divisi DFIR Group-IB mengamati bahwa IcedID digunakan untuk mendapatkan akses awal oleh berbagai afiliasi ransomware, termasuk Egregor, REvil, Conti, XingLocker, RansomExx.
 
Banyak afiliasi ransomware mengandalkan teknik hidup di luar negeri dan alat yang sah selama siklus serangan. Malware komoditas sering digunakan untuk memulai aktivitas pasca-eksploitasi melalui kerangka kerja pemuatan seperti Cobalt Strike (diamati pada 57% serangan).
 
Beberapa geng ransomware terlihat mencoba pendekatan yang sangat tidak konvensional: afiliasi REvil memanfaatkan kerentanan zero-day untuk menyerang klien Kaseya. BazarLoader, digunakan dalam operasi Ryuk, didistribusikan melalui vishing (phishing suara). Email phishing berisi informasi tentang "langganan berbayar", yang diduga dapat dibatalkan melalui telepon. Selama panggilan, pelaku ancaman memikat korban ke situs web palsu dan memberikan instruksi untuk mengunduh dan membuka dokumen yang dipersenjatai, yang mengunduh dan menjalankan BazarLoader.
 
Menurut Kepala tim DFIR Group-IB, Oleg Skulkin, mengingat beberapa rebranding yang dipaksakan oleh tindakan penegakan hukum serta penggabungan TTP karena migrasi afiliasi yang konstan dari satu program Ransomware-as-a-Service (RaaS) ke program lainnya, semakin menantang bagi profesional keamanan untuk melacaknya. taktik dan alat yang terus berkembang dari aktor ancaman ransomware.
 
“Untuk membantu keamanan siber perusahaan menavigasi dan mempersiapkan insiden ransomware, kami menguraikan tren utama dan perubahan TTP dan mengubahnya menjadi wawasan yang dapat ditindaklanjuti yang dipetakan dan diatur sesuai dengan matriks MITRE ATT&CK®,” jelasnya. (ak)