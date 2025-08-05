Kecerdasan Buatan Komputasi dan server Otomatisasi IT

Munculnya Ransomware-as-a-Service: Bagaimana kejahatan dunia maya telah menjadi bisnis

Pandangan sudut tinggi pemrogram komputer yang menggunakan PC desktop di meja kantor

Penulis

Syed Jawwad

Security Consultant

Ransomware-as-a-Service (RaaS) telah muncul sebagai model bisnis yang mengubah permainan di mana peretas menggabungkan kemampuan ransomware tradisional dengan aksesibilitas layanan berbasis cloud. Perubahan ini membantu mereka mengubah pemerasan digital canggih menjadi ekonomi berbasis langganan yang tersedia bagi hampir semua orang dengan niat jahat.

Secara historis, serangan ransomware terutama dilakukan oleh aktor ancaman yang terampil secara teknis yang menulis malware mereka sendiri, mendistribusikannya melalui phishing atau melalui kit eksploitasi, dan bernegosiasi dengan korban secara langsung. Namun dalam model tradisional ini, ada keterbatasan, seperti skalabilitas terbatas, paparan risiko, dan kebutuhan akan seperangkat keterampilan yang luas. 

Kemudian model RaaS hadir. Dalam model ini, pengembang ransomware membuat alat malware yang kuat dan menyewakannya kepada pelanggan atau afiliasi mereka yang melakukan serangan yang sebenarnya. Pengembang menerima 20% hingga 40% dari keuntungan, sementara afiliasi mengambil bagian yang tersisa.

Ini telah membuat kejahatan dunia maya lebih mudah diakses, memungkinkan orang dengan keahlian terbatas untuk melakukan serangan yang kuat menggunakan alat canggih. 

Buletin industri

Berita teknologi terbaru, didukung oleh insight dari pakar

Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.

Terima kasih! Anda telah berlangganan.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.

Cara Kerja Ransomware-as-a-Service

RaaS adalah model bisnis kejahatan dunia maya di mana peretas profesional yang disebut pengembang membuat dan menjual atau menyewakan alat ransomware siap pakai kepada afiliasi (penjahat lain) yang menggunakannya untuk melakukan serangan. Ada beberapa tahapan seperti yang dijelaskan di bawah ini.

1. Pengembangan Malware 

Pengembang atau operator merancang payload ransomware. Fitur biasanya meliputi:

  • Algoritma enkripsi untuk mengunci data korban
  • Teknik penghapusan diri
  • Metode penghindaran untuk melewati antivirus dan EDR
  • Saluran komunikasi bawaan (seperti perintah dan kontrol berbasis TOR)

Beberapa keluarga malware yang canggih bahkan dilengkapi dengan fitur modular, seperti penyebaran seperti worm, penghindaran sandbox, dan enkripsi multithreading. 

2. Hosting Platform RaaS 

Setelah dibuat, malware dikemas dan dibuat tersedia melalui pasar digital atau forum pribadi. Platform ini menyerupai situs SaaS yang sah, dan fitur-fiturnya meliputi:

  • Dasbor pengguna untuk melacak infeksi
  • Portal pembayaran dan manajemen kunci dekripsi 
  • Forum dukungan
  • Pembaruan dan peluncuran fitur 
  • Materi pemasaran untuk afiliasi mereka

Beberapa grup RaaS bahkan memiliki portal layanan pelanggan untuk membantu afiliasi memecahkan masalah penerapan.

Sesuai Crowdstrike, kit RaaS diiklankan di pasar dark web dan mencakup dukungan 24/7, penawaran yang dibundel, ulasan pengguna, forum, dan fitur lain yang identik dengan yang ditawarkan oleh penyedia SaaS yang sah.

3. Rekrutmen Afiliasi 

Afiliasi biasanya adalah penjahat siber lain yang tidak berbakat seperti pengembang Ransomware, tetapi penjahat ini dapat menyebarkan ransomware melalui akses mereka ke jaringan nyata.  

Dalam operasi RaaS besar, rekrutmen biasanya ditangani oleh manajer afiliasi atau perekrut. Orang khusus atau tim kecil menemukan, membidik dan mengajak afiliasi bergabung. Dalam operasi RaaS kecil atau yang baru diluncurkan, perekrutan biasanya dilakukan oleh pengembang atau operator sendiri.

Rekrutmen sering dilakukan melalui berbagai sumber, termasuk platform pesan pribadi seperti Telegram atau Jabber, forum dark web, atau undangan untuk bergabung dengan grup pribadi.

Pengembang dapat mengevaluasi afiliasi dengan hati-hati sebelum mengizinkan mereka bergabung dengan grup. Sebagai imbalannya, afiliasi mendapatkan akses ke ransomware, dokumentasi, dan alat. Kadang-kadang mereka menargetkan rekrutmen berbasis reputasi. Pada kesempatan yang jarang terjadi, penyerang dapat menggunakan iklan pekerjaan TI palsu atau platform freelance untuk merekrut orang tanpa sadar atau untuk menguji keterampilan mereka.

4. Pengiriman Payload 

Afiliasi menangani distribusi ransomware menggunakan berbagai sumber, termasuk:

  • Email phishing dengan lampiran berbahaya 
  • Iklan berbahaya 
  • Situs web yang disusupi  
  • Mengeksploitasi perangkat lunak atau kerentanan yang belum ditambal 
  • Pialang akses awal (iAB) atau penyusup awal (penjahat ini menjual titik masuk yang disusupi ke jaringan)

Dalam beberapa kasus, afiliasi juga menerapkan teknik pemerasan ganda di mana mereka pertama kali mencuri data sebelum mengenkripsinya, kemudian mereka mengancam untuk mempublikasikannya jika korban tidak membayar uang tebusan.  

5. Berurusan dengan korban untuk pembayaran 

Setelah sistem dienkripsi, ransomware menampilkan pesan dengan instruksi pembayaran. Para penjahat ini biasanya menuntut cryptocurrency seperti Bitcoin. Mereka memberikan langkah-langkah terperinci termasuk cara menggunakan Tor dan dompet kripto dalam catatan tebusan itu sendiri.

Korban diberikan tautan portal negosiasi. Portal ini biasanya di-host di TOR. Beberapa grup RaaS mengotomatiskan percakapan ini menggunakan chatbot, sementara beberapa kelompok menawarkan operator manusia untuk menangani negosiasi harga. 

Kelompok-kelompok ini membagi tanggung jawab mereka dengan jelas. Afiliasi bertanggung jawab untuk menerapkan ransomware, mengirimkan catatan tebusan, membangun komunikasi awal, dan menangani negosiasi. Pengembang inti atau tim pengembang menyediakan backend dengan hosting portal, memverifikasi pembayaran, dan mendistribusikan kunci dekripsi.

6. Bagi Hasil 

Ketika kelompok-kelompok ini berhasil memeras uang dari korban, mereka membagi dana sesuai kesepakatan mereka. Jumlah yang disepakati pergi ke pengembang dan sisa jumlah akan disimpan oleh afiliasi. 

Gabungan Para Pakar | 28 Agustus, episode 70

Decoding AI: Rangkuman Berita Mingguan

Bergabunglah dengan panel insinyur, peneliti, pemimpin produk, dan sosok kelas dunia lainnya selagi mereka mengupas tuntas tentang AI untuk menghadirkan berita dan insight terbaru seputar AI.
Simak episode terbaru podcast

Model Bisnis RaaS

Ada beberapa model di mana RaaS beroperasi. Prinsip-prinsipnya termasuk yang berikut:

  • Afiliasi/Bagi Hasil: Afiliasi tidak membayar biaya di muka, tetapi pengembang mengambil bagian dari setiap tebusan. Ini adalah model yang paling umum.
  • Berbasis langganan: Afiliasi membayar biaya bulanan untuk akses ke kit ransomware dan dukungan. 
  • Lisensi satu kali: Biaya tetap memberi akses tak terbatas ke malware, tetapi tidak ada dukungan berkelanjutan.
  • Custom-build: Ransomware yang disesuaikan dijual kepada satu pembeli, sering kali untuk serangan profil tinggi atau yang ditargetkan.

Grup RaaS Dunia Nyata 

Beberapa geng ransomware paling populer yang bekerja di bawah model RaaS meliputi:

  • REvil: Grup ini telah menawarkan dasbor terperinci untuk afiliasi dan sering menegosiasikan tebusan atas nama mereka sebelum dibubarkan.
  • DarkSide: Grup ini dikenal dengan branding profesional, pernyataan PR, dan bahkan kode etik.
  • Conti: Grup ini bekerja seperti entitas perusahaan, dengan penggajian, manajer, dan ulasan sebelum dibubarkan.
  • LockBit: Grup ini masih aktif, dikenal dengan taktik agresif dan situs kebocoran publik.

Tindakan pencegahan: Bagaimana mempertahankan diri dari RaaS

Agar tetap terlindungi dari RaaS, bisnis harus memilih strategi pertahanan berlapis-lapis, termasuk:

  1. Kesadaran Pengguna: Phishing adalah titik masuk yang paling umum. Pelatihan rutin dapat membuat pengguna sadar akan serangan siber. 
  2. Deteksi berbasis perilaku dan heuristik: Setiap hari Raas meluncurkan layanan baru.   Indikator Kompromi (IOCs) dapat deteksi keberadaan aktivitas berbahaya atau bukti pelanggaran keamanan dalam jaringan, sistem, atau endpoint. Ketika setiap detik diperhitungkan selama serangan ransomware, alat EDR dapat deteksi, menahan, dan merespons secara real time
  3. Pemetaan tanda: Setiap keluarga ransomware memiliki tanda tangan perilaku dan karakteristik muatan yang berbeda. Memetakan tanda-tanda tersebut membantu menciptakan pertahanan yang lebih terarah. Bisnis dapat secara teratur memperbarui umpan intelijen ancaman dan mengintegrasikannya dengan platform SIEM atau SOAR. Kerangka kerja MITRE ATT&CK atau Threat Fox sangat bagus untuk tujuan ini. Pengguna dapat memilih langganan tren malware anya.run untuk laporan reguler dan terperinci tentang jenis malware teratas, IOC, atau TTP. Pengguna juga dapat memanfaatkan dasbor mereka untuk melihat informasi terperinci tentang keluarga malware.
  4. Pemantauan integritas file: Jika pengguna melakukan pemantauan integritas file, mereka dapat dengan mudah mendeteksi perubahan yang tidak sah pada file dan direktori pada sistem. Mereka akan diperingatkan ketika file penting (seperti konfigurasi sistem atau file yang dapat dieksekusi) dimodifikasi, dihapus, atau ditambahkan. Ini membantu mengidentifikasi tanda-tanda malware, backdoor, atau bahkan ancaman orang dalam lebih awal.
  5. Patching & Pembaruan: Patching reguler memainkan peran kunci dalam bertahan melawan RaaS karena banyak afiliasi RaaS mencari perangkat lunak yang belum ditambal untuk mendapatkan akses.
  6. Deteksi dan respons titik akhir (EDR): Penerapan EDR melindungi terhadap RaaS. EDR melakukan analisis perilaku untuk menangkap ransomware pada fase eksekusi awal.
  7. Arsitektur Zero Trust: Dengan menggunakan arsitektur zero-trust, gerakan lateral akan dibatasi, bahkan jika sistem dikompromikan.
  8. Segmentasi: Segmentasi jaringan membantu mencegah enkripsi jaringan penuh dengan mengisolasi sistem penting ke dalam segmen yang berbeda.
  9. Cadangan Offline: Cadangan offline kebal terhadap infeksi, jadi jika cadangan online dikompromikan, pengguna dapat memulihkannya dengan aman dari salinan offline.
  10. Kepatuhan: Mempertahankan kepatuhan titik akhir secara signifikan mengurangi risiko yang ditimbulkan oleh Ransomware-as-a-Service (RaaS). Perusahaan harus memastikan sistem telah diperkuat tanpa celah keamanan dan diperbarui dengan definisi antimalware terbaru.

Ransomware-as-a-Service telah menurunkan hambatan untuk masuk ke kejahatan dunia maya, memungkinkan bahkan penyerang berketerampilan rendah untuk meluncurkan kampanye yang menghancurkan. Dengan operasi yang terorganisir dengan baik, jaringan afiliasi, dan model bagi hasil, RaaS lanjutkan berkembang dengan cepat. 

Untuk mengatasi ancaman ini, organisasi harus mengadopsi strategi pertahanan berlapis yang mencakup pendidikan pengguna, cadangan reguler, penggunaan EDR, intelijen ancaman dan respons insiden cepat.
Solusi terkait
Layanan tanggap insiden

Meningkatkan program tanggap insiden organisasi Anda, meminimalkan dampak pelanggaran, dan tanggapan cepat terhadap insiden keamanan siber.

 Jelajahi layanan respons insiden
Solusi pendeteksian dan respons ancaman

Gunakan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.

 Jelajahi solusi deteksi ancaman
Solusi IBM QRadar SOAR

Optimalkan proses pengambilan keputusan, tingkatkan efisiensi SOC, dan percepat respons insiden dengan solusi otomatisasi cerdas dan orkestrasi.

 Jelajahi QRadar SOAR
Ambil langkah selanjutnya

Meningkatkan program tanggap insiden organisasi Anda, meminimalkan dampak pelanggaran, dan tanggapan cepat terhadap insiden keamanan siber.

 Jelajahi layanan respons insiden Pelajari lebih lanjut tentang IBM X-Force