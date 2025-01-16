Menjelang akhir tahun 2024, ransomware tetap menjadi ancaman dominan dan berkembang terhadap organisasi mana pun. Penjahat siber lebih canggih dan kreatif dari sebelumnya. Mereka mengintegrasikan teknologi baru, memanfaatkan ketegangan geopolitik dan bahkan menggunakan peraturan hukum untuk keuntungan mereka.
Apa yang dulunya tampak seperti kejahatan yang mengganggu tetapi relatif langsung telah berkembang menjadi tantangan global berlapis-lapis yang terus mengancam bisnis dan pemerintah.
Mari kita lihat situasi ransomware hari ini. Kami akan berfokus pada bagaimana penjahat siber mengubah taktik, mengandalkan teknologi AI, mengeksploitasi kerangka kerja, dan banyak lagi.
Salah satu perkembangan paling signifikan dalam lingkungan ransomware adalah penggunaan kecerdasan buatan (AI) untuk meningkatkan serangan phishing dan rekayasa sosial. Secara historis, email phishing sering kali berisi tanda-tanda penipuan yang jelas — kata-kata yang salah eja, tata bahasa yang buruk, dan pesan yang umum. Namun, alat bantu AI generatif yang baru dapat membuat email yang sangat personal dan terlihat profesional, yang telah mengubah permainan secara drastis. Hal ini mungkin menjelaskan mengapa volume serangan phishing dan tingkat keberhasilannya meningkat karena kampanye phishing lebih mudah dibuat dan lebih meyakinkan dari sebelumnya.
AI memungkinkan aktor ancaman untuk menambang data dalam jumlah besar untuk membuat email yang meyakinkan yang menargetkan individu atau organisasi tertentu. Email ini mungkin berisi informasi kontekstual yang membuatnya tampak sah, secara signifikan meningkatkan kemungkinan keberhasilannya. Kemampuan untuk memberikan serangan yang presisi seperti itu adalah mengapa ransomware sangat merugikan bagi industri seperti perawatan kesehatan, karena gangguan apa pun dapat memiliki konsekuensi yang mengancam jiwa.
Selain itu, teknologi deepfake yang dihasilkan oleh AI telah mulai berperan dalam rekayasa sosial. Penjahat siber sekarang dapat membuat deepfake audio dan video dari eksekutif perusahaan untuk mengelabui karyawan agar mentransfer uang atau mengungkapkan informasi sensitif. Ini telah membuat penipuan jauh lebih sulit dideteksi, dan organisasi merasa semakin kewalahan untuk menghadapi serangan semacam itu.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Kelompok ransomware tidak hanya mengandalkan sarana teknis untuk menekan korban agar membayar uang tebusan — mereka juga memanipulasi peraturan hukum untuk keuntungan mereka. Salah satu perkembangan paling mencolok pada tahun 2024 adalah persenjataan aturan pengungkapan, khususnya yang dikeluarkan oleh U.S. Securities and Exchange Commission (SEC).
Kasus terkenal baru-baru ini melibatkan kelompok ransomware BlackCat/ALPHV yang mengajukan pengaduan resmi SEC terhadap penyedia layanan pinjaman digital. Setelah mengeksfiltrasi file perusahaan, kelompok tersebut diduga melaporkan kepada SEC bahwa penyedia gagal mematuhi peraturan yang mengharuskan organisasi untuk mengungkapkan insiden keamanan siber dalam empat hari kerja. Taktik tambahan ini dirancang untuk menekan korban agar membayar uang tebusan untuk menghindari hukuman finansial atau kerusakan reputasi.
Insiden yang mengganggu ini menunjukkan bahwa kelompok ransomware akan memanfaatkan apa saja, bahkan peraturan pemerintah. “Aktor ancaman menggunakan peraturan untuk memberi lebih banyak tekanan pada para korban. Ini adalah tren yang cukup menarik,” kata Ifigeneia Lella, pakar keamanan siber di Badan Uni Eropa untuk Keamanan Siber (ENISA). Ini adalah pengingat yang mengerikan bahwa kerangka kerja, sementara dimaksudkan untuk melindungi publik dan mendorong transparansi, dapat dimanipulasi oleh aktor jahat untuk memajukan agenda jahat mereka sendiri.
Sesuai dengan laporan ENISA Threat Landscape 2024, tahun lalu terjadi peningkatan penggunaan teknik "living-off-the-land" (LOTL) oleh penjahat siber. Serangan LOTL melibatkan penggunaan alat dan perangkat lunak yang sudah ada di dalam sistem korban, sehingga lebih sulit bagi tim keamanan untuk mendeteksi aktivitas berbahaya. Alih-alih mengandalkan malware eksternal yang dapat ditandai oleh perangkat lunak antivirus, penyerang memanfaatkan alat administratif yang sah seperti PowerShell atau Windows Management Instrumentation (WMI) untuk mengeksekusi serangan mereka.
Sebagai contoh, PLAY, sebuah grup ransomware multi-percobaan, sering menggunakan alat yang sudah jadi seperti Cobalt Strike, Empire, dan Mimikatz untuk penemuan dan gerakan lateral di dalam jaringan target. Dengan menghindari pengenalan perangkat lunak baru yang mencurigakan, penyerang dapat menghindari deteksi untuk waktu yang lebih lama, seringkali sampai terlambat bagi korban untuk merespons secara efektif. Pergeseran menuju teknik LOTL ini merupakan tantangan berkelanjutan bagi para profesional keamanan siber, karena solusi antivirus tradisional menjadi kurang efektif melawan serangan halus ini.
Selain kemajuan teknologi, ransomware semakin banyak digunakan sebagai senjata pengaruh geopolitik dan hacktivisme. Penjahat siber tidak lagi hanya termotivasi oleh keuntungan finansial; beberapa menggunakan malware untuk memajukan agenda politik, mengacaukan pemerintah, atau menciptakan kekacauan di wilayah tertentu.
Laporan ENISA menekankan bagaimana ketegangan geopolitik konvergen dengan serangan ransomware. Misalnya, selama konflik Rusia-Ukraina, kelompok ransomware menargetkan infrastruktur penting di Ukraina dan negara-negara lain yang bersekutu dengan Ukraina. Serangan-serangan ini tidak selalu bermotivasi finansial tetapi lebih didorong secara politik. Tujuannya adalah untuk mengganggu operasi nasional atau melumpuhkan berbagai utama seperti energi, perawatan kesehatan dan transportasi.
Kelompok hacktivist juga bergabung dengan geng ransomware untuk mendorong tujuan ideologis mereka sendiri. Misalnya, serangan terhadap administrasi publik dan sektor transportasi telah meningkat, sering dikaitkan dengan peristiwa politik tertentu atau gerakan global. Ketika kejahatan siber ditunggangi kepentingan politik, organisasi dan pemerintah harus menyadari bahwa ransomware tidak lagi hanya menjadi ancaman keuangan, tetapi juga alat disrupsi di panggung global. Dan mengingat meningkatnya ketegangan geopolitik di seluruh dunia, jenis serangan ini semakin umum.
Terlepas dari upaya global untuk mengekang ransomware, jumlah serangan ransomware lanjutkan meningkat. Menurut Ransomware Tracker, jumlah korban yang diposting di situs pemerasan melonjak pada Mei 2024 menjadi 450, naik dari 328 pada bulan April, menjadikannya salah satu bulan paling aktif selama beberapa tahun terakhir.
Industri seperti perawatan kesehatan, administrasi publik, transportasi dan keuangan termasuk yang paling ditargetkan. Sektor-sektor ini sangat rentan karena ketergantungan mereka pada infrastruktur digital dan konsekuensi parah dari waktu henti. Misalnya, Departemen U.S. Kesehatan dan Layanan Kemanusiaan melaporkan peningkatan 256% dalam pelanggaran terkait peretasan di sektor kesehatan selama lima tahun terakhir, yang menggarisbawahi meningkatnya kerentanan sektor tersebut.
Dampak finansial ransomware terus tumbuh pada tahun 2024, dengan biaya melampaui pembayaran tebusan. Menurut sebuah laporan industri, biaya pemulihan rata-rata untuk korban ransomware di pemerintah negara bagian dan lokal adalah 2,73 juta USD, lebih dari dua kali lipat jumlah yang dilaporkan pada tahun 2023. Biaya ini tidak hanya mencakup pembayaran tebusan tetapi juga biaya yang terkait dengan waktu henti, kehilangan data, gangguan operasional dan kerusakan reputasi.
Tuntutan tebusan itu sendiri juga meroket. Laporan tersebut menyatakan bahwa permintaan tebusan rata-rata untuk pemerintah negara bagian dan lokal sekarang adalah USD 3,3 juta, dengan beberapa permintaan melebihi USD 5 juta. Secara global, industri seperti perawatan kesehatan, energi, dan pendidikan melihat tren serupa. Lebih buruk lagi, tuntutan tebusan yang tinggi dan biaya pemulihan yang signifikan dapat melumpuhkan atau bahkan menutup organisasi yang lebih kecil.
Lingkungan ransomware pada tahun 2024 adalah salah satu kompleksitas yang semakin meningkat. Dengan kampanye phishing berbasis AI, teknik hidup di luar negeri, eksploitasi kerangka kerja dan penggabungan ketegangan geopolitik, taruhannya tidak pernah lebih tinggi. Namun, kemajuan dalam alat keamanan siber AI dan kesadaran yang berkembang tentang taktik yang berkembang ini menyediakan jalur untuk meningkatkan pertahanan.
Ketika penjahat siber beradaptasi dan berinovasi, begitu juga para profesional dan organisasi keamanan siber. Langkah-langkah proaktif seperti manajemen kerentanan, menerapkan strategi cadangan yang kuat dan berinvestasi dalam kemampuan respons insiden sangat penting dalam memerangi ancaman yang selalu ada ini. Ransomware mungkin terus berkembang, tetapi begitu juga alat dan strategi yang digunakan untuk melawannya.