- RansomHub, kelompok ransomware yang naik daun, udah ngebombardir 210 korban.
- Mereka ngenkrips data, ngeludesin data, dan nuntut tebusan dengan modus operandi canggih.
- Kelompok ransomware lain seperti ShinyHunters juga ikut-ikutan dengan metode serangan yang makin canggih.
pibitek.biz -RansomHub, kelompok ransomware yang lagi naik daun, udah ngebombardir 210 korban sejak awal kemunculannya di Februari 2024. Kalo kata pemerintah Amerika, mereka udah berhasil ngenkrips dan ngeludesin data dari berbagai macam korban di berbagai bidang. Bayangin, dari air dan limbah sampai teknologi informasi, dari layanan pemerintah sampai fasilitas publik, dari kesehatan dan kesehatan masyarakat sampai layanan darurat, dari makanan dan pertanian sampai jasa keuangan, dari fasilitas komersial sampai manufaktur penting, dari transportasi sampai infrastruktur komunikasi penting, semuanya jadi korban.
2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
3 – Google Kerjasama dengan Reaktor Nuklir untuk AI 3 – Google Kerjasama dengan Reaktor Nuklir untuk AI
Kalo RansomHub itu ibarat gangster yang buka bisnis ransomware-as-a-service, mereka udah ngebuktiin kalo mereka jago banget ngelola bisnis. Dulu mereka dikenal dengan nama Cyclops dan Knight, dan sekarang mereka lagi diburu banyak hacker terkenal dari kelompok ransomware seperti LockBit dan ALPHV. ZeroFox, perusahaan keamanan siber, ngeluarin analisis di akhir bulan lalu dan bilang kalo RansomHub lagi naik daun banget. Di Q1 2024, mereka berhasil ngerebut 2% dari total serangan ransomware, di Q2 naik jadi 5.1%, dan di Q3 udah mencapai 14.2%.
Nggak cuma ngenkrips, mereka juga ngeludesin data dan nuntut tebusan. Modus operandi mereka itu kayak gini: mereka nge-hack sistem, ngenkrips data, terus ngeludesin data, dan nuntut tebusan. Kalo korban nggak mau bayar, data mereka bakal diumbar di situs leak data selama 3 sampai 90 hari. Mereka udah ngelatih diri mereka buat jago banget ngelakuin serangan. Mereka ngeratain semua celah keamanan yang ada di Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center dan Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), dan Fortinet FortiClientEMS (CVE-2023-48788) sampai beres.
Habis itu mereka ngelakuin pengintaian dan pemindaian jaringan menggunakan program canggih kayak AngryIPScanner, Nmap, dan metode Living-off-the-Land (LotL). Mereka juga pintar banget ngelepasin diri dari radar antivirus menggunakan alat khusus. RansomHub jago banget ngebikin akun pengguna buat ngebikin usaha mereka bertahan, ngaktifin lagi akun yang udah dinonaktifin, dan menggunakan Mimikatz di sistem Windows buat ngumpulin kredensial dan nge-upgrade hak akses ke SYSTEM. Dengan begitu, mereka bisa leluasa berpindah-pindah di dalam jaringan menggunakan metode seperti Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit, dan metode command-and-control (C2) lainnya.
Mereka juga pinter banget nge-enkripsi data secara bertahap biar cepet. Untuk ngeludesin data, mereka pake alat kayak PuTTY, Amazon AWS S3 buckets, HTTP POST requests, WinSCP, Rclone, Cobalt Strike, Metasploit, dan metode lainnya. RansomHub itu kayak bandit yang udah nge-upgrade dirinya sendiri. Kalo dulu mereka cuma ngenkrips data, sekarang mereka udah jago banget ngeludesin data dan ngerusak reputasi korban. Dan ternyata, mereka nggak sendirian. Ada kelompok ransomware lain yang lagi nge-trend, namanya ShinyHunters, atau biasa disebut Bling Libra.
Mereka juga udah ngelakuin perubahan besar-besaran. ShinyHunters itu dulu dikenal sebagai pencuri data yang jago banget ngeludesin data dan ngejualnya. Tapi sekarang, mereka udah berubah jadi penculik data, mereka ngeludesin data korban dan nuntut tebusan. Mereka nge-hack lingkungan Amazon Web Services (AWS) korban dengan menggunakan kredensial yang mereka dapetin dari repository publik. Walaupun mereka cuma punya akses terbatas, mereka tetep bisa ngerusak lingkungan AWS korban dan ngelakuin pengintaian.
Mereka pinter banget ngumpulin informasi tentang konfigurasi S3 bucket, ngakses objek S3, dan ngehapus data korban menggunakan alat kayak Amazon Simple Storage Service (S3) Browser dan WinSCP. Kejahatan ransomware makin hari makin canggih. Dulu mereka cuma ngenkrips data, sekarang mereka udah bisa ngeludesin data, ngerusak reputasi, dan bahkan nge-hack bisnis lainnya. Mereka bahkan udah ngelakuin trik yang lebih canggih lagi, namanya Triple Extortion, di mana mereka nge-hack sistem, ngeludesin data, dan nge-hack sistem lain untuk ngerusak bisnis korban.
Kalo Triple Extortion masih kurang, ada lagi yang namanya Quadruple Extortion, di mana mereka nge-hack sistem, ngeludesin data, ngerusak sistem lain, dan nge-hack bisnis yang berhubungan dengan korban. Dan yang bikin masalah makin rumit, sekarang ada banyak kelompok ransomware baru yang lagi nge-trend, kayak Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye, dan Insom. Ransomware udah jadi bisnis yang menguntungkan, bahkan hacker dari negara Iran pun udah ikut-ikutan buat ngeraih keuntungan.
Mereka udah berkolaborasi dengan kelompok ransomware yang terkenal kayak NoEscape, RansomHouse, dan BlackCat. RansomHub, ShinyHunters, dan kelompok ransomware lainnya udah ngebuktiin kalo dunia siber makin berbahaya. Kita semua harus hati-hati dan nge-upgrade sistem keamanan kita biar nggak jadi korban.
