- Cicada3301 melakukan serangan ransomware yang menargetkan data dan sistem komputer perusahaan di seluruh dunia.
- Serangan Cicada3301 menggunakan algoritma ChaCha20 untuk mengenkripsi data dan sistem virtualisasi VMware ESXi.
- Cicada3301 memanfaatkan pengalaman dan pengetahuan tim inti ALPHV untuk meneruskan jejak kejahatan ransomware.
pibitek.biz -Cicada3301, sebuah nama yang mengingatkan kita pada sebuah teka-teki misterius yang sempat menghebohkan dunia maya tahun 2012-2014, kini muncul kembali, tapi dengan tujuan yang jauh lebih jahat. Bukan lagi teka-teki yang menantang, Cicada3301 kini menjadi nama sebuah operasi ransomware-as-a-service (RaaS) yang menebarkan ancaman serius bagi perusahaan-perusahaan di seluruh dunia. Di balik nama misterius itu, bersembunyi para pelaku kejahatan dunia maya yang lihai dalam mencuri data dan mengacaukan sistem komputer.
2 – Ransomware BianLian Serang Rumah Sakit Anak Boston 2 – Ransomware BianLian Serang Rumah Sakit Anak Boston
3 – Serangan SIM-Swap: Akun SEC Diretas Secara Besar-Besaran 3 – Serangan SIM-Swap: Akun SEC Diretas Secara Besar-Besaran
Modus operandi mereka sama seperti ransomware lainnya, mencuri data dan kemudian mengenkripsi data penting milik korban, menjadikan akses mereka sendiri sebagai sandera. Kejahatan mereka semakin diperburuk dengan taktik double-extortion, di mana mereka tidak hanya mengacaukan sistem komputer, tetapi juga mengancam akan menyebarkan data yang dicuri secara online. Sebuah ancaman yang bisa membuat korban kehilangan reputasi dan data sensitif mereka di mata publik. Cicada3301, sebuah nama yang awalnya muncul di forum kejahatan dunia maya pada akhir Juni 2024, ternyata sudah beroperasi sejak awal Juni.
Mereka langsung terjun ke medan perang dunia maya, menyerang berbagai perusahaan di berbagai negara, dan secara aktif merekrut afiliasi untuk memperluas kekuasaan mereka. Sebuah analisis mendalam oleh Truesec mengumumkan adanya keterkaitan erat antara Cicada3301 dengan ALPHV/BlackCat, sebuah ransomware yang pernah mengguncang dunia maya. Hal ini menimbulkan dugaan kuat bahwa Cicada3301 mungkin merupakan rebranding dari ALPHV atau merupakan pengembangan dari tim inti ALPHV. ALPHV, sebelumnya dikenal karena aksi kriminalnya yang brutal dan merugikan, menghilang dari dunia maya pada awal Maret 2024 setelah aksi exit scam.
Mereka mengklaim operasi mereka dihentikan oleh FBI, tetapi di balik itu semua, terkuak cerita penipuan besar-besaran yang melibatkan uang tebusan senilai US$22 juta yang dicuri dari Change Healthcare. Cicada3301 dengan lihai memanfaatkan momen ini, memanfaatkan pengalaman dan pengetahuan tim inti ALPHV untuk meneruskan jejak kejahatan mereka. Mereka bahkan diduga bekerja sama dengan botnet Brutus, sebuah jaringan komputer yang dikenal sebagai pencuri kredensial dan pembajak VPN, untuk masuk ke jaringan perusahaan.
Bukti ini semakin memperkuat dugaan bahwa Cicada3301 bukanlah sekadar kumpulan hacker biasa. Mereka adalah para profesional dunia maya dengan pengalaman dan pengetahuan yang luas, yang mampu mengendalikan berbagai alat dan strategi canggih untuk melancarkan serangan ransomware yang terstruktur. Cicada3301 dirancang dengan baik dan profesional, menggunakan bahasa pemrograman Rust untuk mengembangkan enkripsi mereka. Mereka menyediakan perangkat enkripsi khusus untuk sistem Windows dan Linux, termasuk varian yang dirancang untuk menyerang VMware ESXi, sistem virtualisasi yang banyak digunakan di perusahaan-perusahaan besar.
Analisis lebih lanjut mengumumkan bahwa enkripsi Cicada3301 menggunakan algoritma ChaCha20 yang dikenal kuat untuk mengenkripsi data, dan RSA untuk melindungi kunci enkripsi. Proses ini memastikan data korban terkunci dengan aman, membuat mereka kesulitan untuk mendapatkan akses kembali. Cicada3301 menyediakan opsi konfigurasi yang fleksibel, memungkinkan para pelaku kejahatan untuk mengatur strategi serangan mereka dengan sangat detail. Salah satu fitur yang menarik adalah kemampuan mereka untuk menunda eksekusi enkripsi, memungkinkan mereka menghindari deteksi dini dan meningkatkan kemungkinan keberhasilan serangan mereka.
Para pelaku kejahatan juga dapat mengatur parameter untuk menentukan bagaimana enkripsi dilakukan. Mereka dapat memilih untuk mematikan virtual machine sebelum mengenkripsi data, atau memilih untuk mengenkripsi data tanpa melakukan shutdown. Hal ini memungkinkan mereka untuk memaksimalkan kerusakan dan membuat korban kesulitan untuk memulihkan sistem mereka. Kemampuan Cicada3301 untuk mengincar VMware ESXi membuat serangan mereka lebih berbahaya. VMware ESXi adalah sistem virtualisasi yang banyak digunakan oleh perusahaan-perusahaan besar, sehingga serangan pada sistem ini bisa berdampak besar dan menyebabkan gangguan operasional yang serius.
Cicada3301 menunjukkan bahwa serangan ransomware terus berkembang. Para pelaku kejahatan selalu mencari cara baru untuk meningkatkan kemampuan dan menargetkan sistem yang lebih canggih. Serangan yang menargetkan VMware ESXi menunjukkan bahwa mereka bertekad untuk mengganggu bisnis dan menyebabkan kerugian finansial yang besar. Keberhasilan Cicada3301 dalam menyerang perusahaan-perusahaan di seluruh dunia menunjukkan bahwa serangan ransomware bukanlah ancaman yang bisa dianggap remeh. Pertahanan terhadap serangan ransomware harus ditingkatkan dengan menggunakan solusi keamanan yang komprehensif dan strategi mitigasi risiko yang efektif.
