Apa itu ransomware sebagai layanan (RaaS)?

Pengaturan Ransomware-sebagai-layanan populer di kalangan penjahat siber. Ransomware masih menjadi ancaman siber yang umum, yang terlibat dalam 20% dari semua insiden kejahatan siber menurut IBM X-Force Threat Intelligence Index. Banyak strain ransomware yang paling terkenal dan menghancurkan—seperti LockBit dan BlackBasta—menyebar melalui penjualan RaaS.

Sangat mudah untuk memahami proliferasi model RaaS. Dengan mengalihdayakan beberapa upaya mereka ke penyedia RaaS, calon peretas memiliki akses yang lebih cepat dan lebih mudah ke dalam kejahatan siber. Bahkan pelaku ancaman dengan keahlian teknis terbatas sekarang dapat memulai serangan siber.

RaaS saling menguntungkan. Para peretas dapat mengambil untung dari pemerasan tanpa mengembangkan malware mereka sendiri. Pada saat yang sama, pengembang ransomware dapat meningkatkan keuntungan mereka tanpa upaya menyerang jaringan dan dapat mengambil keuntungan dari korban yang mungkin tidak mereka temukan.

RaaS bekerja dengan cara yang sama seperti model bisnis perangkat lunak sebagai layanan (SaaS) yang sah. Pengembang ransomware, juga disebut operator RaaS atau grup RaaS, melakukan pekerjaan mengembangkan dan memelihara alat bantu serta infrastruktur ransomware. Mereka mengemas alat dan layanan mereka ke dalam kit RaaS yang mereka jual ke peretas lain, yang dikenal sebagai afiliasi RaaS.

Sebagian besar operator RaaS menggunakan 1 dari model pendapatan ini untuk menjual kit mereka:

• Berlangganan bulanan
• Biaya satu kali
• Program afiliasi
• Bagi hasil

Afiliasi RaaS membayar biaya berulang—terkadang hanya USD 40 per bulan—untuk akses ke alat ransomware.

Afiliasi membayar biaya satu kali untuk membeli kode ransomware secara langsung.

Afiliasi membayar biaya bulanan dan berbagi persentase kecil dari pembayaran tebusan yang mereka terima dengan operator.

Operator tidak memungut biaya apa pun di muka, tetapi mengambil potongan yang signifikan dari setiap tebusan yang diterima afiliasi, biasanya 30-40%.

Perangkat RaaS diiklankan di forum dark web di seluruh ekosistem bawah tanah‌, dan beberapa operator ransomware secara aktif merekrut afiliasi baru, menggelontorkan jutaan dolar AS untuk perekrutan di dark web.

Setelah mereka membeli perangkat RaaS, afiliasi mendapatkan lebih dari sekadar malware dan kunci dekripsi. Mereka sering menerima tingkat layanan dan dukungan yang setara dengan vendor SaaS yang sah. Beberapa operator RaaS yang paling canggih menawarkan fasilitas seperti:

• Dukungan teknis berkelanjutan.
• Akses ke forum pribadi tempat peretas dapat bertukar tip dan informasi.
• Portal pemrosesan pembayaran—karena sebagian besar pembayaran tebusan diminta dalam mata uang kripto yang tidak dapat dilacak seperti Bitcoin.
• Alat bantu dan dukungan untuk menulis catatan tebusan khusus atau menegosiasikan permintaan tebusan.

Semua serangan ransomware dapat memiliki konsekuensi serius. Menurut laporan laporan Biaya Pelanggaran Data IBM, rata-rata pelanggaran ransomware merugikan korbannya sebesar USD 4,91 juta. Tetapi serangan dari afiliasi RaaS menimbulkan tantangan tambahan bagi para profesional keamanan siber, termasuk:

• Atribusi fuzzy dari serangan ransomware
• Spesialisasi penjahat siber
• Ancaman ransomware yang lebih tangguh
• Taktik tekanan baru

Di bawah model RaaS, orang-orang yang melakukan serangan siber mungkin bukan orang yang sama yang mengembangkan malware yang digunakan. Selain itu, kelompok peretasan yang berbeda mungkin menggunakan ransomware yang sama. Para profesional keamanan siber mungkin tidak dapat mengaitkan serangan dengan pasti dengan satu atau lebih kelompok tertentu, sehingga lebih sulit untuk membuat profil dan menangkap operator dan afiliasi RaaS.

Sama halnya dengan ekonomi yang sah, ekonomi kejahatan siber telah mengarah pada pembagian kerja. Pelaku ancaman sekarang dapat mengkhususkan diri dan memperbaiki karya mereka. Para pengembang dapat berfokus pada penulisan malware yang semakin kuat, dan afiliasinya dapat berfokus pada pengembangan metode serangan yang lebih efektif.

Ada kelas penjahat siber yang ke-3 bernama “perantara akses” yang mengkhususkan diri dalam meretas jaringan dan menjual titik akses ke penyerang. Spesialisasi memungkinkan peretas bergerak lebih cepat dan melancarkan lebih banyak serangan. Menurut Indeks X-Force Threat Intelligence, waktu rata-rata untuk mempersiapkan dan memulai serangan ransomware telah turun dari 60+ hari pada tahun 2019 menjadi 3,84 hari saat ini.

RaaS memungkinkan operator dan afiliasi untuk berbagi risiko, sehingga masing-masing menjadi lebih tangguh. Menangkap afiliasi tidak mematikan operator, dan afiliasi dapat beralih ke perangkat ransomware lain jika operator tertangkap. Para peretas juga diketahui mengatur ulang dan mengubah nama aktivitas mereka untuk menghindari pihak berwenang.

Contohnya, setelah Office of Foreign Assets Control (OFAC) Amerika Serikat memberi sanksi kepada geng ransomware Evil Corp, korban berhenti membayar tebusan agar mencegah hukuman dari OFAC. Sebagai tanggapan, Evil Corp mengubah nama ransomware-nya untuk menjaga pembayaran tetap masuk.

Penjahat siber yang menggunakan serangan RaaS mendapati mereka sering kali meminta pembayaran tebusan yang lebih tinggi dan lebih cepat jika mereka tidak mengenkripsi data korban. Langkah tambahan dalam memulihkan sistem dapat memperlambat pembayaran. Selain itu, semakin banyak organisasi yang meningkatkan strategi pencadangan dan pemulihan mereka, sehingga enkripsi tidak terlalu berbahaya bagi mereka.

Sebaliknya, penjahat siber menyerang organisasi yang memiliki simpanan besar informasi identitas pribadi (PII)yang sensitif—seperti penyedia layanan kesehatan—dan mengancam untuk membocorkan informasi sensitif tersebut. Para korban sering membayar uang tebusan daripada menderita rasa malu—dan kemungkinan akibat hukum—dari kebocoran.

Mungkin sulit untuk menentukan kelompok mana yang bertanggung jawab atas ransomware mana atau operator mana yang memulai serangan. Meskipun demikian, para profesional keamanan siber telah mengidentifikasi beberapa operator RaaS utama selama bertahun-tahun, termasuk:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Pertama kali diidentifikasi pada tahun 2015, Tox dianggap oleh banyak orang sebagai RAA pertama.

LockBit adalah salah satu varian RaaS yang paling meresap, menurut Indeks X-Force Threat Intelligence. LockBit sering menyebar melalui email phishing . Khususnya, geng di belakang LockBit telah mencoba merekrut afiliasi yang dipekerjakan oleh korban target mereka, membuat infiltrasi lebih mudah.

Varian ransomware DarkSide digunakan dalam serangan tahun 2021 terhadap Colonial Pipeline AS, yang dianggap sebagai serangan siber terburuk terhadap infrastruktur penting AS hingga saat ini. DarkSide ditutup pada tahun 2021, tetapi pengembangnya merilis kit RaaS penerus bernama BlackMatter.

REvil, juga dikenal sebagai Sodin atau Sodinokibi, memproduksi ransomware di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited. Pada puncaknya, REvil merupakan salah satu varian ransomware yang paling tersebar luas. Russian Federal Security Service menutup REvil dan mendakwa beberapa anggota kunci pada awal 2022.

Sebelum ditutup pada tahun 2021, Ryuk adalah salah satu operasi RaaS terbesar. Pengembang di balik Ryuk kemudian merilis Conti, varian RaaS utama lainnya, yang digunakan dalam serangan terhadap pemerintah Kosta Rika pada tahun 2022.

Hive menjadi terkenal pada tahun 2022 setelah serangan terhadap Microsoft Exchange Server. Afiliasi Hive merupakan ancaman yang signifikan bagi perusahaan keuangan dan organisasi layanan kesehatan sampai FBI menjatuhkan operator tersebut.

Muncul sebagai ancaman pada tahun 2022, Black Basta dengan cepat merenggut lebih dari 100 korban di Amerika Utara, Eropa, dan Asia. Dengan menggunakan serangan yang ditargetkan, para peretas akan menuntut pemerasan ganda: baik untuk mendekripsi data korban dan juga dengan ancaman merilis informasi sensitif ke publik.

Pada tahun 2023, kelompok ransomware CL0P mengeksploitasi kerentanan pada aplikasi transfer file MOVEit untuk mengekspos informasi jutaan orang.

Eldorado RaaS diumumkan pada awal 2024 dalam sebuah iklan di forum ransomware. Dalam waktu tiga bulan, 16 korban telah diserang di Amerika Serikat dan Eropa.¹

Meskipun RaaS telah mengubah lanskap ancaman, banyak praktik standar untuk proteksi ransomware yang masih efektif untuk memerangi serangan RaaS.

Banyak afiliasi RaaS kurang mahir secara teknis daripada penyerang ransomware sebelumnya. Menempatkan penghalang yang cukup antara peretas dan aset jaringan mungkin akan menghentikan beberapa serangan RaaS sepenuhnya. Beberapa taktik keamanan siber yang mungkin membantu:

• Rencana respons insiden yang komprehensif
• Alat bantu deteksi berbasis anomali
• Mengurangi permukaan serangan jaringan
• Pelatihan keamanan siber
• Menerapkan kontrol akses
• Mempertahankan pencadangan
• Bekerja sama dengan penegak hukum

Perencanaan respons insiden dapat sangat membantu untuk serangan RaaS. Karena atribusi serangan bisa jadi sulit untuk ditentukan, tim repons insiden tidak dapat mengandalkan serangan ransomware yang selalu menggunakan taktik, teknik, dan prosedur yang sama (TTP).

Selain itu, ketika responder insiden mengeluarkan afiliasi RaaS, perantara akses mungkin masih aktif di jaringan mereka. Perburuan ancaman proaktif dan investigasi insiden menyeluruh dapat membantu tim keamanan memberantas ancaman yang licin ini.

Untuk mengidentifikasi serangan ransomware yang sedang berlangsung, organisasi dapat menggunakan alat deteksi berbasis anomali, seperti beberapa solusi deteksi dan respons titik akhir (EDR) dan deteksi dan respons jaringan (NDR). Alat-alat ini menggunakan fungsi otomatisasi cerdas, kecerdasan buatan (AI), dan machine learning (ML) untuk mendeteksi ancaman baru dan canggih secara hampir real-time dan memberikan perlindungan titik akhir yang lebih baik.

Serangan ransomware mungkin terlihat pada tahap awal dengan penghapusan cadangan yang tidak biasa atau proses enkripsi yang tiba-tiba dimulai tanpa peringatan. Bahkan sebelum serangan, kejadian anomali mungkin merupakan “tanda peringatan dini” akan adanya peretasan yang akan terjadi yang dapat dicegah oleh tim keamanan.

Organisasi dapat membantu mengurangi permukaan serangan jaringan mereka dengan melakukan penilaian kerentanan yang sering dan secara teratur menerapkan tambalan untuk menutup kerentanan yang sering dieksploitasi.

Alat bantu keamanan seperti perangkat lunak antivirus, orkestrasi keamanan, otomatisasi, dan respons (SOAR),  informasi keamanan dan manajemen peristiwa (SIEM), serta deteksi dan respons yang diperluas (XDR) juga dapat membantu tim keamanan mencegat ransomware lebih cepat.

Tunjukkan kepada karyawan cara mengenali dan menghindari vektor ransomware umum termasuk phishing, rekayasa sosial, dan tautan berbahaya.

Autentikasi multifaktor, arsitektur zero-trust dan segmentasi jaringan dapat membantu mencegah ransomware menjangkau data sensitif.

Organisasi dapat secara teratur membuat cadangan data sensitif dan gambar sistem, idealnya pada hard disk drive atau perangkat lain yang dapat diputuskan dari jaringan.

Organisasi terkadang dapat menghemat biaya dan waktu penahanan dengan bantuan penegakan hukum.

Korban Ransomware yang melibatkan penegakan hukum menurunkan biaya pelanggaran mereka dengan rata-rata hampir USD 1 juta, belum termasuk biaya tebusan yang dibayarkan, menurut Laporan Biaya Pelanggaran Data IBM. Keterlibatan penegakan hukum juga membantu mempersingkat waktu yang diperlukan untuk mengidentifikasi dan mengatasi pelanggaran dari 297 hari menjadi 281 hari.