Ransomware adalah vektor ancaman yang signifikan, merugikan bisnis, perusahaan, dan operator infrastruktur miliaran dolar per tahun. Di balik ancaman ini terdapat geng ransomware profesional yang membuat dan mendistribusikan malware yang memungkinkan serangan.
Beberapa kelompok ini menyerang korban secara langsung, sementara yang lain menjalankan model Ransomware-as-a-Service (RaaS) populer yang memungkinkan afiliasi memeras organisasi tertentu.
Dengan ancaman ransomware yang terus meningkat, mengetahui musuh dan cara mereka beroperasi adalah satu-satunya cara untuk tetap unggul. Jadi, inilah daftar lima kelompok ransomware paling mematikan yang mengganggu lanskap keamanan siber.
1. REvil
Grup ransomware REvil, a.k.a. Sodinokibi, adalah berbasis di Rusia ransomware-sebagai-layanan (RaaS) operasi yang pertama kali muncul pada April 2019. Ini dianggap sebagai salah satu kelompok ransomware paling kejam dengan tautan ke Badan Layanan Federal Rusia (FSB).
Kelompok ini dengan cepat menarik perhatian para profesional keamanan siber karena kecakapan teknis dan keberaniannya untuk mengejar target profil tinggi. 2021 adalah tahun yang paling menguntungkan bagi grup karena menargetkan beberapa perusahaan multinasional dan mengganggu beberapa industri.
Korban Utama
Pada Maret 2021, REvil menyerang perusahaan elektronik dan perangkat keras Acer dan mengkompromikan servernya. Para penyerang menuntut $ 50 juta untuk kunci dekripsi dan mengancam akan meningkatkan uang tebusan menjadi $ 100 juta jika perusahaan tidak memenuhi tuntutan kelompok.
Sebulan kemudian, kelompok itu melakukan serangan tingkat tinggi lainnya terhadap pemasok Apple, Quanta Computers. Itu berusaha untuk memeras Quanta dan Apple, tetapi tidak ada perusahaan yang membayar uang tebusan $ 50 juta yang diminta.
Grup ransomware REvil melanjutkan aksi peretasannya dan menargetkan JBS Foods, Invenergy, Kaseya, dan beberapa bisnis lainnya. JBS Foods terpaksa menutup sementara operasinya dan membayar sekitar $11 juta uang tebusan dalam Bitcoin untuk melanjutkan operasinya.
Itu Serangan Kaseya membawa beberapa perhatian yang tidak diinginkan ke grup karena secara langsung mempengaruhi lebih dari 1.500 bisnis di seluruh dunia. Menyusul beberapa tekanan diplomatik, pihak berwenang Rusia menangkap beberapa anggota kelompok pada Januari 2022 dan menyita aset bernilai jutaan dolar. Tapi gangguan ini berumur pendek karena Geng ransomware REvil telah kembali dan berjalan sejak April 2022.
2. Lanjut
Conti adalah geng ransomware terkenal lainnya yang menjadi berita utama sejak akhir 2018. Ini menggunakan metode pemerasan ganda, yang berarti bahwa grup tersebut menahan kunci dekripsi dan mengancam akan membocorkan data sensitif jika uang tebusan tidak dibayarkan. Bahkan menjalankan situs web kebocoran, Conti News, untuk mempublikasikan data yang dicuri.
Apa yang membuat Conti berbeda dari grup ransomware lainnya adalah tidak adanya batasan etis pada targetnya. Ini melakukan beberapa serangan di sektor pendidikan dan kesehatan dan menuntut jutaan dolar uang tebusan.
Korban Utama
Grup ransomware Conti memiliki sejarah panjang dalam menargetkan infrastruktur publik penting seperti perawatan kesehatan, energi, TI, dan pertanian. Pada Desember 2021, grup tersebut melaporkan telah menyusup ke bank sentral Indonesia dan mencuri data sensitif sebesar 13,88 GB.
Pada Februari 2022, Conti menyerang operator terminal internasional, SEA-invest. Perusahaan ini mengoperasikan 24 pelabuhan di seluruh Eropa dan Afrika dan mengkhususkan diri dalam menangani curah kering, buah dan makanan, curah cair (minyak dan gas), dan peti kemas. Serangan itu mempengaruhi semua 24 port dan menyebabkan gangguan yang signifikan.
Conti juga telah berkompromi dengan Sekolah Umum Broward County pada bulan April dan meminta tebusan $40 juta. Kelompok tersebut membocorkan dokumen curian di blognya setelah distrik tersebut menolak membayar uang tebusan.
Baru-baru ini, presiden Kosta Rika harus mengumumkan keadaan darurat nasional menyusul serangan Conti terhadap beberapa lembaga pemerintah.
3. Sisi gelap
Grup ransomware DarkSide mengikuti model RaaS dan menargetkan bisnis besar untuk memeras uang dalam jumlah besar. Ia melakukannya dengan mendapatkan akses ke jaringan perusahaan, biasanya melalui phishing atau brute force, dan mengenkripsi semua file di jaringan.
Ada beberapa teori tentang asal-usul kelompok ransomware DarkSide. Beberapa analis berpikir itu berbasis di Eropa Timur, di suatu tempat di Ukraina atau Rusia. Yang lain percaya kelompok itu memiliki waralaba di banyak negara, termasuk Iran dan Polandia.
Korban Utama
Kelompok DarkSide membuat tuntutan tebusan besar tetapi mengklaim memiliki kode etik. Kelompok tersebut mengklaim bahwa mereka tidak pernah menargetkan sekolah, rumah sakit, lembaga pemerintah, dan infrastruktur apa pun yang mempengaruhi masyarakat.
Namun, pada Mei 2021, DarkSide melakukan Serangan Pipa Kolonial dan meminta uang tebusan sebesar $5 juta. Itu adalah serangan siber terbesar pada infrastruktur minyak dalam sejarah AS dan mengganggu pasokan bensin dan bahan bakar jet di 17 negara bagian.
Insiden itu memicu percakapan tentang keamanan infrastruktur penting dan bagaimana pemerintah dan perusahaan harus lebih rajin melindungi mereka.
Setelah serangan tersebut, kelompok DarkSide mencoba membersihkan namanya dengan menyalahkan afiliasi pihak ketiga atas serangan tersebut. Namun, menurut Washington Post, kelompok tersebut memutuskan untuk menutup operasinya setelah meningkatnya tekanan dari Amerika Serikat.
4. DoppelPembayar
Ransomware DoppelPaymer adalah penerus ransomware BitPaymer yang pertama kali muncul pada April 2019. Ini menggunakan metode yang tidak biasa untuk memanggil korban dan menuntut tebusan dalam bitcoin.
DoppelPaymer mengklaim berbasis di Korea Utara dan mengikuti model ransomware pemerasan ganda. Aktivitas kelompok tersebut menurun beberapa minggu setelah serangan Colonial Pipeline, tetapi para analis yakin kelompok itu mengubah namanya menjadi kelompok Duka.
Korban Utama
DopplePaymer sering menargetkan perusahaan minyak, pembuat mobil, dan industri penting seperti perawatan kesehatan, pendidikan, dan layanan darurat. Ini adalah ransomware pertama yang menyebabkan kematian seorang pasien di Jerman setelah petugas layanan darurat tidak dapat berkomunikasi dengan rumah sakit.
Kelompok itu menjadi berita utama ketika menerbitkan informasi pemilih dari Hall County, Georgia. Tahun lalu, itu juga mengkompromikan sistem yang dihadapi pelanggan Kia Motors America dan mencuri data sensitif. Kelompok tersebut menuntut 404 bitcoin sebagai tebusan, kira-kira setara dengan $20 juta saat itu.
5. KunciBit
LockBit akhir-akhir ini menjadi salah satu geng ransomware yang paling menonjol, berkat penurunan kelompok lain. Sejak kemunculan pertamanya pada tahun 2019, LockBit telah mengalami pertumbuhan yang belum pernah terjadi sebelumnya dan mengembangkan taktiknya secara signifikan.
LockBit dimulai sebagai geng low-profile pada awalnya tetapi mendapatkan popularitas dengan peluncuran LockBit 2.0 pada akhir 2021. Kelompok ini mengikuti model RaaS dan menggunakan taktik pemerasan ganda untuk memeras korban.
Korban Utama
LockBit saat ini merupakan grup ransomware yang berdampak, terhitung lebih dari 40 persen dari semua serangan ransomware pada Mei 2022. Ini menyerang organisasi di AS, Cina, India, dan Eropa.
Awal tahun ini, LockBit menargetkan Thales Group, multinasional elektronik Prancis, dan mengancam akan membocorkan data sensitif jika perusahaan tidak memenuhi tuntutan tebusan grup.
Itu juga membahayakan Kementerian Kehakiman Prancis dan mengenkripsi file mereka. Kelompok itu sekarang mengklaim telah melanggar agen pajak Italia (L'Agenzia delle Entrate) dan mencuri 100 GB data.
Melindungi Terhadap Serangan Ransomware
Ransomware terus menjadi industri pasar gelap yang berkembang pesat, menghasilkan pendapatan miliaran dolar untuk geng-geng terkenal ini setiap tahun. Mengingat manfaat finansial dan meningkatnya ketersediaan model RaaS, ancamannya pasti akan meningkat.
Seperti halnya malware apa pun, waspada dan menggunakan perangkat lunak keamanan yang sesuai adalah langkah ke arah yang benar untuk memerangi ransomware. Jika Anda belum siap untuk berinvestasi dalam alat keamanan premium, Anda dapat menggunakan alat perlindungan ransomware bawaan Windows untuk menjaga keamanan PC Anda.
