Seiring dengan meningkatnya skala, kecanggihan, dan niat ancaman keamanan siber, penting bagi organisasi untuk memahami aktor-aktor utama yang membentuk lanskap, risiko yang muncul, dan teknologi yang terus berkembang untuk membantu memperkuat keamanan siber.
Laporan terbaru dari Bridewell menunjukkan betapa dinamisnya lingkungan yang bermusuhan dalam satu tahun terakhir.
Pimpinan Utama Intelijen Ancaman Cyber di Bridewell.
Pelaku ancaman telah mengubah perilakunya, meningkatkan peralatannya, dan menyesuaikan taktiknya.
Ada beberapa langkah penting yang perlu diketahui organisasi untuk melawan ancaman yang akan datang.
Meningkatnya pencurian data dan pemerasan
Secara historis, taktik ransomware terutama berpusat pada enkripsi data korban dan menuntut pembayaran untuk kunci dekripsi. Namun, serangan baru-baru ini menyoroti perubahan taktik, dimana pelaku ancaman kini memprioritaskan pencurian data dan pemerasan dengan mengancam akan mempublikasikan informasi yang dicuri kecuali uang tebusan dibayarkan.
Hal ini terlihat dalam serangan terhadap penyedia telekomunikasi Inggris Colt Technology Services, di mana kelompok ransomware Warlock mengeksploitasi kerentanan di Microsoft SharePoint untuk menyusup ke sistem perusahaan.
Para penyerang mencuri beberapa ratus gigabyte data sensitif, termasuk informasi penggajian karyawan, catatan keuangan, kontrak pelanggan, dan rincian arsitektur jaringan. Akibat tidak membayar uang tebusan, kelompok tersebut kemudian memposting daftar file di forum Tor Rusia, menawarkan lebih dari satu juta dokumen untuk dijual.
Kelompok ransomware Clop juga menunjukkan perubahan ini pada bulan Mei 2023 dengan mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit (CVE‑2023‑34362) untuk mengekstrak data dalam jumlah besar dari ratusan organisasi, termasuk perusahaan terkenal seperti BBC. Alih-alih hanya mengenkripsi sistem, Clop mengancam akan mempublikasikan informasi yang dicuri melalui situs kebocorannya.
Perkembangan ini mengeksploitasi meningkatnya tekanan peraturan dan reputasi, khususnya di yurisdiksi dengan undang-undang privasi yang ketat. Sementara serangan berbasis enkripsi sering kali mengakibatkan permintaan tebusan individu dalam jumlah besar karena mendesaknya pemulihan layanan penting. Selain itu, peningkatan dalam pemulihan data dan kontrol pencadangan menjadikannya pilihan yang lebih efektif untuk pencurian data yang tidak disengaja dan penyerang brute force.
Operasi pencurian data skala besar baru-baru ini yang dilakukan oleh kelompok peretas seperti Scattered Spider dan Shiny Hunters, yang tergabung dalam apa yang dikenal sebagai “com” atau “komunitas”, telah menargetkan penyedia layanan perangkat lunak besar seperti Salesforce dan perusahaan lain yang berintegrasi dengan platform mereka. Hal ini sekali lagi menyoroti keinginan untuk menggunakan pencurian data dan paksaan untuk menyebarkan ransomware guna mengenkripsi file korban.
Eksploitasi kerentanan dan perangkat edge
Kerentanan yang tidak terdeteksi pada sistem dan perangkat edge yang terhubung ke Internet tetap menjadi vektor serangan utama bagi kelompok ransomware. Penyerang mengeksploitasi kelemahan dalam teknologi yang banyak digunakan, termasuk VPN, alat pemantauan jarak jauh, dan peralatan jaringan, untuk mendapatkan akses awal ke sistem perusahaan. Kerentanan ini memungkinkan terjadinya kompromi besar-besaran dalam skala besar dan merupakan kontributor utama keberhasilan kampanye ransomware.
Pada tahun 2024, kelompok ransomware terkenal, Clop dan Termite, muncul sebagai aktor yang sangat terampil dalam melancarkan serangan terhadap layanan transfer file terkelola. Selain itu, awal tahun ini, Clop menargetkan Cleo, penyedia perangkat lunak integrasi dan transfer file terkelola perusahaan, dengan mengeksploitasi kerentanan zero-day (CVE-2024-50623) dalam perangkat lunak integrasinya.
Serangan ini berdampak pada lebih dari 80 organisasi, terutama di sektor telekomunikasi dan layanan kesehatan, yang mengakibatkan paparan data dan gangguan operasional secara signifikan. Baru-baru ini, kita telah melihat beberapa pelaku ancaman meluncurkan serangan luas yang menargetkan perangkat Fortinet, Cisco, dan Evanti yang tidak dikenal. Ini termasuk broker akses dan afiliasi yang terkait dengan kelompok ransomware Killin, Akira, dan RansomHub.
Pelaku ransomware terus menargetkan hypervisor seperti lingkungan VMware ESXi, dengan tujuan mengganggu infrastruktur TI penting dengan cepat. Kelompok seperti VanHelsing dan Dragonforce telah dikaitkan dengan serangan baru-baru ini dan secara aktif menggunakan taktik ini dalam kampanye yang sedang berlangsung.
Sementara itu, musuh mengalihkan upaya mereka untuk mengembangkan kemampuan untuk menghindari sistem deteksi dan respons titik akhir (EDR), yang dikenal sebagai ‘pembunuh EDR’, yang sering kali dicapai melalui eksploitasi driver yang rentan atau fitur perangkat lunak asli.
Keberhasilan serangan-serangan ini diperkuat dengan meningkatnya penggunaan alat-alat living-off-the-land binaries (LOLBIN) dan pemantauan dan manajemen jarak jauh (RMM), metode lain yang digunakan untuk menghindari alat EDR, yang memungkinkan pelaku ancaman untuk berbaur dengan operasi sistem atau lingkungan normal tanpa diketahui, sehingga membuat deteksi dan pengorganisasian sangat sulit untuk dimitigasi.
Alat keamanan ofensif tetap menjadi pusat operasi ransomware. Meskipun ada upaya bersama dari Unit Kejahatan Digital (DCU), Fortra, dan Pusat Pembagian dan Analisis Informasi Kesehatan (Health-ISAC) dalam beberapa tahun terakhir untuk memerangi penggunaan salinan Cobalt Strike yang resmi dan lama, Cobalt Strike tetap menjadi alat keamanan ofensif yang paling banyak digunakan di antara operator ransomware.
Meskipun Fortra telah melaporkan penurunan sebesar 80% dalam salinan tidak sah selama dua tahun terakhir, pada kenyataannya situasinya masih berupa permainan kucing-kucingan karena infrastruktur C2 yang berbahaya dihapuskan dari penyedia hosting yang lebih bereputasi, dan operator hanya mentransfernya ke penyedia yang kurang bereputasi.
Namun demikian, peralihan ini masih memberikan beberapa keuntungan strategis bagi para pembela HAM, karena infrastruktur yang dihosting pada penyedia tingkat rendah lebih mungkin diblokir oleh produk keamanan seperti firewall generasi berikutnya dan proxy web.
Sementara itu, alat ofensif lainnya seperti Metasploit, Sliver, Brute Rattle dan varian yang lebih baru seperti Pyramid C2, kerangka perintah dan kontrol (C2) berbasis Python dan Adaptix C2 terus mendapatkan popularitas.
Pikiran terakhir
Memasuki tahun 2026, terlihat jelas bahwa pelaku kejahatan siber menjadi lebih cerdas, lebih oportunistik, dan lebih bertekad untuk mengeksploitasi kerentanan teknologi dan titik lemah organisasi. Dengan munculnya model pemaksaan yang mengutamakan pencurian data, peningkatan penargetan perangkat edge, dan peningkatan berkelanjutan pada alat penghindaran EDR, para pembela HAM menghadapi tantangan yang berkembang pesat dan menuntut adaptasi yang setara.
Organisasi harus memprioritaskan patching proaktif, memperkuat pemantauan di lingkungan hybrid, dan berinvestasi dalam intelijen ancaman yang mengimbangi perubahan taktik musuh. Mereka yang membangun ketahanan saat ini, melalui kesiapsiagaan, visi dan respon yang kuat terhadap kejadian, akan berada pada posisi terbaik untuk menghadapi ancaman di masa depan.
Temukan perangkat lunak antivirus terbaik: ulasan pakar, pengujian, dan penilaian.
