- Jumlah kelompok ransomware meningkat 30% dalam setahun terakhir.
- Kelompok-kelompok ransomware semakin terorganisir dan canggih dalam operasi mereka.
- Penggunaan AI meningkatkan kemampuan pelaku ancaman dalam melancarkan serangan yang lebih canggih.
pibitek.biz -Meskipun upaya penegakan hukum untuk menjatuhkan kelompok ransomware semakin gencar, Secureworks mencatat peningkatan 30% dalam jumlah kelompok ransomware aktif secara tahunan. Hal ini menunjukkan bahwa kejahatan dunia maya semakin berkembang dan adaptif. Dalam laporan tahunan kedelapan Secureworks tentang Keadaan Ancaman, perusahaan tersebut mengidentifikasi 31 kelompok baru yang telah memasuki ekosistem ransomware dalam 12 bulan terakhir.
2 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi 2 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi
3 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru 3 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru
Sebelumnya, lanskap ancaman didominasi oleh beberapa pemain besar, namun kini telah dihuni oleh berbagai entitas baru yang muncul. Ketiga kelompok ransomware paling aktif, berdasarkan jumlah korban yang tercatat, adalah:
– REvil/Sodinokibi: Kelompok ini terkenal dengan serangan mereka yang canggih dan permintaan tebusan yang tinggi. Mereka menargetkan perusahaan-perusahaan besar dan penting, menyebabkan kerugian finansial yang besar.
– LockBit: LockBit dikenal dengan operasi cepatnya dan kemampuan untuk menyebarkan ransomware secara luas. Mereka mengkhususkan diri dalam menyerang perusahaan kecil dan menengah, memanfaatkan kelemahan keamanan yang umum.
– Conti: Conti dikenal dengan serangan yang terkoordinasi dan kemampuannya untuk mencuri data sensitif selain mengenkripsi data korban. Kelompok ini sering kali melibatkan perantara untuk mendistribusikan ransomware dan menerima pembayaran tebusan. BlackCat/ALPHV, yang sebelumnya merupakan salah satu kelompok ransomware paling aktif, tidak masuk dalam tiga besar tahun ini karena kegiatan penegakan hukum yang mengakibatkan gangguan signifikan terhadap operasi mereka.
Meskipun jumlah kelompok ransomware meningkat, jumlah korban tidak meningkat pada laju yang sama. Hal ini menunjukkan lanskap yang lebih terfragmentasi dan menimbulkan pertanyaan tentang seberapa sukses kelompok-kelompok baru ini. Don Smith, VP Threat Intelligence, Secureworks Counter Threat Unit, mengatakan, "Ransomware adalah bisnis yang tidak akan berarti apa-apa tanpa model afiliasinya. Dalam setahun terakhir, kegiatan penegakan hukum telah merusak kesetiaan lama, membentuk kembali bisnis kejahatan dunia maya. Awalnya, para pelaku ancaman merespon dengan kacau, namun mereka telah menyempurnakan operasi bisnis dan cara kerja mereka. Hasilnya adalah semakin banyak kelompok, didukung oleh migrasi afiliasi yang substansial".
"Saat ekosistem berkembang, kita melihat entropi dalam kelompok ancaman, tetapi juga ketidakpastian dalam playbook, yang menambah kompleksitas yang signifikan bagi para pembela jaringan", tambah Smith. Alat AI sekarang tersebar luas dan mudah diakses untuk penggunaan yang sah dan kriminal. Para peneliti Secureworks CTU mencatat peningkatan posting di forum bawah tanah tentang OpenAI ChatGPT dan bagaimana alat ini dapat digunakan untuk tujuan jahat sejak pertengahan Februari 2023.
Sebagian besar diskusi terkait dengan kegiatan tingkat rendah, termasuk serangan phishing dan pembuatan skrip dasar. Namun, penggunaan AI dalam kejahatan dunia maya semakin meningkat, dan pelaku ancaman terus mencari cara untuk memanfaatkan teknologi ini untuk keuntungan mereka. Serangan AiTM (Attack-in-the-Middle) sekarang digunakan untuk mencuri kredensial dan cookie sesi guna mendapatkan akses ke jaringan. Hal ini berpotensi mengurangi efektivitas beberapa jenis MFA (Multi-Factor Authentication), sebuah tren yang mengkhawatirkan bagi para pembela jaringan.
Serangan ini difasilitasi dan diotomatisasi oleh kit phishing yang tersedia untuk disewa di pasar bawah tanah dan Telegram. Kit populer termasuk Evilginx2, EvilProxy, dan Tycoon2FA. Smith mengatakan, "Penggunaan AI yang semakin meningkat memberikan skala bagi pelaku ancaman, namun peningkatan serangan AiTM menghadirkan masalah yang lebih mendesak bagi perusahaan, menegaskan bahwa identitas adalah perimeter dan harus menyebabkan perusahaan untuk menilai kembali dan merenungkan postur pertahanannya".
China, Rusia, Iran, dan Korea Utara terus menjadi aktor negara yang paling memprihatinkan. Mereka semua terus menerapkan kampanye dunia maya terhadap target mereka yang biasa. Rusia telah mengembangkan taktiknya terkait konflik di Ukraina untuk fokus pada serangan yang didorong oleh spionase yang bertujuan untuk mendapatkan intelijen militer. Aktivitas ini telah diamati di luar Ukraina. Para peneliti CTU menilai bahwa penggunaan kemampuan dunia maya Rusia yang paling agresif dalam operasi sabotase akan tetap terfokus pada target infrastruktur penting di Ukraina.
China telah mengembangkan teknik operasinya dengan investasi besar dalam jaringan yang disamarkan sambil memanfaatkan infrastruktur yang ada, di tepi, dan di cloud. Niat China terus berfokus pada spionase serta pencurian informasi untuk keuntungan politik, ekonomi, dan militer. Di Iran, ada dua sponsor utama kegiatan dunia maya Iran: IRGC (Islamic Revolutionary Guard Corps) dan MOIS (Ministry of Intelligence and Security). Kegiatan dunia maya mereka terus didorong oleh imperatif politik yang terfokus pada Israel dan musuh regional lainnya, termasuk Arab Saudi, Uni Emirat Arab, dan Kuwait, serta Amerika Serikat.
Terakhir, pelaku ancaman Korea Utara telah melanjutkan operasi pembangkitan pendapatan mereka melalui pencurian mata uang kripto dan skema penipuan pekerjaan yang canggih untuk mendapatkan akses ke pekerjaan di Barat. Mereka gigih dalam menargetkan sektor TI dan kelemahan dalam rantai pasokan. Targetnya terfokus pada entitas di Amerika Serikat, Korea Selatan, dan Jepang. Korea Utara bersedia bekerja dengan Rusia dan Iran dengan tujuan untuk memupuk hubungan dengan negara-negara yang siap menghadapi musuh bersama yang dianggap, meskipun ada sanksi internasional.
Laporan tahunan State of the Threat mengkaji lanskap keamanan dunia maya dari Juni 2023 hingga Juli 2024. Peningkatan jumlah kelompok ransomware menimbulkan ancaman serius bagi dunia maya global. Kelompok-kelompok ini semakin terorganisir dan canggih, yang menjadikan mereka lawan yang tangguh bagi para pembela keamanan dunia maya. Para pelaku ancaman memanfaatkan kemajuan dalam teknologi AI untuk meningkatkan operasi mereka dan melancarkan serangan yang lebih canggih. Ini menunjukkan bahwa persaingan antara para pembela keamanan dunia maya dan pelaku ancaman dunia maya akan terus meningkat.
Penting untuk diingat bahwa kelompok-kelompok ransomware ini tidak beroperasi dalam ruang hampa. Mereka berkolaborasi, berbagi informasi, dan memanfaatkan sumber daya yang ada untuk meningkatkan operasi mereka. Hal ini menyoroti kebutuhan akan kerja sama global dan berbagi informasi untuk melawan ancaman ransomware yang berkembang. Keamanan dunia maya telah menjadi masalah yang sangat penting bagi bisnis, pemerintah, dan individu di seluruh dunia. Serangan ransomware dapat menyebabkan gangguan yang besar, biaya finansial yang besar, dan kerusakan reputasi.
Perkembangan terbaru dalam lanskap ransomware menyoroti perlunya tindakan proaktif dan pendekatan komprehensif untuk meningkatkan keamanan dunia maya. Peningkatan investasi dalam teknologi keamanan dunia maya, pelatihan, dan pendidikan penting untuk membangun pertahanan yang kuat terhadap ancaman ransomware yang berkembang. Namun, terlepas dari upaya yang dilakukan untuk melawan ransomware, tampaknya serangan ini terus meningkat. Perkembangan AI dan kemunculan kelompok-kelompok baru hanya akan mempersulit tugas para pembela keamanan dunia maya.
