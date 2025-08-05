Ransomware-as-a-Service (RaaS) telah muncul sebagai model bisnis yang mengubah permainan di mana peretas menggabungkan kemampuan ransomware tradisional dengan aksesibilitas layanan berbasis cloud. Perubahan ini membantu mereka mengubah pemerasan digital canggih menjadi ekonomi berbasis langganan yang tersedia bagi hampir semua orang dengan niat jahat.
Secara historis, serangan ransomware terutama dilakukan oleh aktor ancaman yang terampil secara teknis yang menulis malware mereka sendiri, mendistribusikannya melalui phishing atau melalui kit eksploitasi, dan bernegosiasi dengan korban secara langsung. Namun dalam model tradisional ini, ada keterbatasan, seperti skalabilitas terbatas, paparan risiko, dan kebutuhan akan seperangkat keterampilan yang luas.
Kemudian model RaaS hadir. Dalam model ini, pengembang ransomware membuat alat malware yang kuat dan menyewakannya kepada pelanggan atau afiliasi mereka yang melakukan serangan yang sebenarnya. Pengembang menerima 20% hingga 40% dari keuntungan, sementara afiliasi mengambil bagian yang tersisa.
Ini telah membuat kejahatan dunia maya lebih mudah diakses, memungkinkan orang dengan keahlian terbatas untuk melakukan serangan yang kuat menggunakan alat canggih.
RaaS adalah model bisnis kejahatan dunia maya di mana peretas profesional yang disebut pengembang membuat dan menjual atau menyewakan alat ransomware siap pakai kepada afiliasi (penjahat lain) yang menggunakannya untuk melakukan serangan. Ada beberapa tahapan seperti yang dijelaskan di bawah ini.
Pengembang atau operator merancang payload ransomware. Fitur biasanya meliputi:
Beberapa keluarga malware yang canggih bahkan dilengkapi dengan fitur modular, seperti penyebaran seperti worm, penghindaran sandbox, dan enkripsi multithreading.
Setelah dibuat, malware dikemas dan dibuat tersedia melalui pasar digital atau forum pribadi. Platform ini menyerupai situs SaaS yang sah, dan fitur-fiturnya meliputi:
Beberapa grup RaaS bahkan memiliki portal layanan pelanggan untuk membantu afiliasi memecahkan masalah penerapan.
Sesuai Crowdstrike, kit RaaS diiklankan di pasar dark web dan mencakup dukungan 24/7, penawaran yang dibundel, ulasan pengguna, forum, dan fitur lain yang identik dengan yang ditawarkan oleh penyedia SaaS yang sah.
Afiliasi biasanya adalah penjahat siber lain yang tidak berbakat seperti pengembang Ransomware, tetapi penjahat ini dapat menyebarkan ransomware melalui akses mereka ke jaringan nyata.
Dalam operasi RaaS besar, rekrutmen biasanya ditangani oleh manajer afiliasi atau perekrut. Orang khusus atau tim kecil menemukan, membidik dan mengajak afiliasi bergabung. Dalam operasi RaaS kecil atau yang baru diluncurkan, perekrutan biasanya dilakukan oleh pengembang atau operator sendiri.
Rekrutmen sering dilakukan melalui berbagai sumber, termasuk platform pesan pribadi seperti Telegram atau Jabber, forum dark web, atau undangan untuk bergabung dengan grup pribadi.
Pengembang dapat mengevaluasi afiliasi dengan hati-hati sebelum mengizinkan mereka bergabung dengan grup. Sebagai imbalannya, afiliasi mendapatkan akses ke ransomware, dokumentasi, dan alat. Kadang-kadang mereka menargetkan rekrutmen berbasis reputasi. Pada kesempatan yang jarang terjadi, penyerang dapat menggunakan iklan pekerjaan TI palsu atau platform freelance untuk merekrut orang tanpa sadar atau untuk menguji keterampilan mereka.
Afiliasi menangani distribusi ransomware menggunakan berbagai sumber, termasuk:
Dalam beberapa kasus, afiliasi juga menerapkan teknik pemerasan ganda di mana mereka pertama kali mencuri data sebelum mengenkripsinya, kemudian mereka mengancam untuk mempublikasikannya jika korban tidak membayar uang tebusan.
Setelah sistem dienkripsi, ransomware menampilkan pesan dengan instruksi pembayaran. Para penjahat ini biasanya menuntut cryptocurrency seperti Bitcoin. Mereka memberikan langkah-langkah terperinci termasuk cara menggunakan Tor dan dompet kripto dalam catatan tebusan itu sendiri.
Korban diberikan tautan portal negosiasi. Portal ini biasanya di-host di TOR. Beberapa grup RaaS mengotomatiskan percakapan ini menggunakan chatbot, sementara beberapa kelompok menawarkan operator manusia untuk menangani negosiasi harga.
Kelompok-kelompok ini membagi tanggung jawab mereka dengan jelas. Afiliasi bertanggung jawab untuk menerapkan ransomware, mengirimkan catatan tebusan, membangun komunikasi awal, dan menangani negosiasi. Pengembang inti atau tim pengembang menyediakan backend dengan hosting portal, memverifikasi pembayaran, dan mendistribusikan kunci dekripsi.
Ketika kelompok-kelompok ini berhasil memeras uang dari korban, mereka membagi dana sesuai kesepakatan mereka. Jumlah yang disepakati pergi ke pengembang dan sisa jumlah akan disimpan oleh afiliasi.
Ada beberapa model di mana RaaS beroperasi. Prinsip-prinsipnya termasuk yang berikut:
Beberapa geng ransomware paling populer yang bekerja di bawah model RaaS meliputi:
Agar tetap terlindungi dari RaaS, bisnis harus memilih strategi pertahanan berlapis-lapis, termasuk:
Ransomware-as-a-Service telah menurunkan hambatan untuk masuk ke kejahatan dunia maya, memungkinkan bahkan penyerang berketerampilan rendah untuk meluncurkan kampanye yang menghancurkan. Dengan operasi yang terorganisir dengan baik, jaringan afiliasi, dan model bagi hasil, RaaS lanjutkan berkembang dengan cepat.
Untuk mengatasi ancaman ini, organisasi harus mengadopsi strategi pertahanan berlapis yang mencakup pendidikan pengguna, cadangan reguler, penggunaan EDR, intelijen ancaman dan respons insiden cepat.
