Setiap kabar baik disambut ketika mengevaluasi tren kejahatan siber dari tahun ke tahun. Selama dua tahun terakhir, Laporan Indeks Ancaman dari IBM telah memberikan beberapa penangguhan kecil di bidang ini dengan menunjukkan penurunan bertahap dalam prevalensi serangan ransomware — sekarang hanya terhitung 17% dari semua insiden keamanan siber dibandingkan dengan 21% pada tahun 2021.
Sayangnya, masih terlalu dini untuk mengetahui apakah garis tren ini akan berlanjut. Sebuah laporan terbaru yang dirilis oleh Searchlight Cyber menunjukkan bahwa telah terjadi peningkatan 56% dalam kelompok ransomware aktif pada paruh pertama tahun 2024, memberikan bukti meyakinkan bahwa perang melawan ransomware masih jauh dari selesai.
Searchlight Cyber adalah perusahaan intelijen dark web yang menyediakan alat dan platform pemantauan yang digunakan oleh lembaga penegak hukum, perusahaan bisnis, dan MSSP untuk membantu mengidentifikasi, melacak, dan mencegah ancaman cyber yang sedang berlangsung.
Perusahaan baru-baru ini merilis laporan pertengahan tahun berjudul "Ransomware di H1 2024: Tren dari Dark Web" yang menyoroti lebih lanjut kondisi ransomware saat ini, khususnya aktivitas kelompok ransomware yang paling produktif.
Dalam laporan ini, statistik yang dikumpulkan oleh Searchlight Cyber menunjukkan bahwa 73 kelompok ransomware aktif saat ini sedang dilacak pertengahan 2024 di dark web dibandingkan dengan 46 grup tahun lalu — mewakili peningkatan 56%.
Beberapa poin-poin penting dari laporan ini termasuk:
Luke Donovan, Head of Threat Intelligence di Searchlight Cyber, baru-baru ini diwawancarai untuk mengumpulkan perspektif tambahan tentang temuan laporan ini. Mengomentari pelaporan metrik Searchlight Cyber, Donovan mengklarifikasi:
“Jumlah korban ransomware kami sangat ditentukan oleh organisasi yang terdaftar kelompok ransomware di situs kebocoran dark web mereka... Ada beberapa batasan dengan angka-angka ini, karena kelompok ransomware mungkin telah menyerang banyak organisasi lain tetapi memutuskan untuk tidak mencantumkan korban secara publik.
“Di sisi lain, selalu ada kemungkinan bahwa kelompok ransomware mencantumkan organisasi yang belum mereka serang untuk meningkatkan reputasi mereka. Namun, angka-angka ini secara luas memberikan indikasi yang baik tentang kelompok ransomware paling aktif yang beroperasi di dark web.”
Model RaaS telah digunakan selama beberapa tahun sekarang. Namun, karena semakin banyak kelompok ransomware muncul ke permukaan dan solusi RaaS menjadi lebih tersedia, bahaya yang terkait hanya diperkirakan akan tumbuh.
Ketika ditanya tentang mengapa model RaaS menjadi begitu sukses dalam beberapa tahun terakhir, Donovan berkomentar, “Keberhasilan model RaaS benar-benar terletak pada kemampuannya untuk menskalakan. Jika operator ransomware juga merupakan individu yang sama yang melakukan serangan, ada batasan alami dalam berapa banyak korban yang dapat mereka klaim pada waktu tertentu. Mengalihdayakan serangan itu sendiri ke sejumlah 'afiliasi' — di mana, beberapa geng terbesar memiliki lusinan — memungkinkan geng ransomware untuk sangat meningkatkan jumlah organisasi yang dapat mereka pegang untuk tebusan.
Pada pandangan pertama, mungkin tampak bahwa beberapa operator RaaS mencari tingkat isolasi tertentu dari konsekuensi hukum dengan menyerahkan akuntabilitas kepada afiliasi yang bertanggung jawab untuk melakukan serangan. Namun, banyak negara memiliki undang-undang yang menyatakan bahwa operator RaaS dan afiliasinya sama-sama bertanggung jawab atas pengorganisasian dan pelaksanaan serangan siber.
“Popularitas model RaaS lebih tentang profitabilitas daripada pergeseran akuntabilitas hukum. Jika ada, menjalankan operasi RaaS meningkatkan risiko bagi pembuat ransomware, karena geng ini biasanya memiliki lebih banyak korban, yang membuat mereka menjadi target yang lebih besar untuk penegakan hukum,” kata Donovan.
Mempertimbangkan implikasi penyediaan toolkit RaaS kepada afiliasi yang tidak terlatih atau tidak disiplin, lanjutan penggunaan model ini mengejutkan karena dapat menciptakan perhatian yang tidak diinginkan bagi geng itu sendiri. Hal ini terbukti dalam gangguan National Crime Agency (NCA) baru-baru ini terhadap operasi LockBit pada bulan Februari 2024.
Namun, keuntungan finansial dari perluasan kegiatan kriminal dalam skala massal adalah risiko yang telah terbukti oleh banyak kelompok ransomware yang bersedia mereka ambil.
Seperti yang baru-baru ini disebutkan, sudah ada laporan sebelumnya bahwa jumlah korban ransomware telah menurun dalam beberapa tahun terakhir. Jadi, haruskah kebangkitan kelompok ransomware menjadi sesuatu yang harus dikhawatirkan bisnis? Ya dan tidak.
Gangguan baru-baru ini di geng RaaS besar seperti LockBit dan BlackCat pasti berkontribusi pada penurunan serangan ransomware baru-baru ini. Faktor potensial lainnya dapat dikaitkan dengan kurangnya kekurangan keterampilan secara umum di bidang yang berhubungan dengan dunia maya yang berdampak pada keamanan siber dan kelompok kejahatan siber. Namun, ini tidak berarti bahwa kebangkitan serangan ransomware tidak akan terjadi.
“Apa yang kami amati saat ini adalah ekosistem ransomware yang lebih terfragmentasi... Ketika kelompok RaaS besar terganggu, kami biasanya melihat sejumlah grup peniru yang lebih kecil muncul,” kata Donovan.
Seperti yang disoroti laporan Searchlight Cyber, banyak kelompok ransomware baru menggunakan metode serangan yang sangat canggih dan semakin termotivasi untuk memiliki bagian terbesar dari pasar RaaS. Ini adalah kombinasi berbahaya, yang berarti bisnis harus tetap waspada sambil terus mengevaluasi strategi pertahanan mereka untuk meminimalkan paparan ransomware mereka.