Apa itu ransomware-as-a-service (RaaS)?
RaaS adalah model bisnis kejahatan siber di mana para pengembang ransomware menjual malware mereka ke peretas lain. 
Berlangganan Buletin IBM Jelajahi IBM Security QRadar
Gambar isometrik yang menunjukkan personel kantor yang berbeda, semuanya menggunakan IBM Security
Apa itu ransomware sebagai layanan?

Ransomware-as-a-service (RaaS) adalah sebuah model bisnis kejahatan siber di mana sebuah kelompok atau geng ransomware menjual kode ransomware mereka kepada peretas lain, yang kemudian menggunakannya untuk melakukan serangan ransomware mereka sendiri.

Menurut Indeks X-Force Threat Intelligence IBM, ransomware adalah jenis serangan siber kedua yang paling umum terjadi pada tahun 2022. Banyak ahli percaya bahwa kemunculan RaaS telah memainkan peran dalam menjaga ransomware tetap lazim. Laporan tahun 2022 dari Zscaler (tautan berada di luar ibm.com) menemukan bahwa 8 dari 11 varian ransomware yang paling aktif adalah varian RaaS.

Sangat mudah untuk memahami mengapa model RaaS sangat populer di kalangan penjahat siber. RaaS menurunkan standar untuk masuk ke dalam kejahatan siber, bahkan memungkinkan para pelaku ancaman yang memiliki keterampilan teknis yang terbatas untuk melakukan serangan siber. Selain itu, RaaS saling menguntungkan: Peretas bisa mendapatkan keuntungan dari pemerasan tanpa mengembangkan malware mereka sendiri, dan pengembang ransomware bisa meningkatkan keuntungan mereka tanpa menyerang jaringan secara manual.

Cara kerja model RaaS

RaaS bekerja dengan cara yang sama seperti model bisnis perangkat lunak sebagai layanan (SaaS ) yang sah. Pengembang ransomware, juga disebut operator RaaS, mengambil pekerjaan mengembangkan dan memelihara alat dan infrastruktur ransomware. Mereka mengemas alat dan layanan mereka ke dalam kit RaaS yang mereka jual ke peretas lain, yang disebut afiliasi RaaS. 

Sebagian besar operator menggunakan salah satu model pendapatan berikut untuk menjual kit mereka:

  • Langganan bulanan: Afiliasi RaaS membayar biaya berulang - terkadang hanya USD 40 per bulan - untuk akses ke alat ransomware.

  • Biaya satu kali: Afiliasi membayar biaya satu kali untuk membeli kode ransomware secara langsung.

  • Model afiliasi: Afiliasi membayar biaya bulanan dan berbagi persentase kecil dari pembayaran tebusan yang mereka terima dengan operator.

  • Bagi hasil: Operator tidak memungut biaya apa pun di muka, tetapi mengambil bagian yang signifikan dari setiap tebusan yang diterima afiliasi, biasanya 30-40%. 

Perangkat RaaS diiklankan di forum dark web, dan beberapa operator ransomware secara aktif merekrut afiliasi baru. Grup REvil, misalnya, menghabiskan USD 1 juta sebagai bagian dari upaya perekrutan besar-besaran pada bulan Oktober 2020 (tautan berada di luar ibm.com).

Setelah mereka membeli kit, afiliasi mendapatkan lebih dari sekadar malware dan kunci dekripsi - mereka sering kali menerima tingkat layanan dan dukungan yang setara dengan vendor SaaS yang sah. Beberapa operator RaaS yang paling canggih mungkin menawarkan fasilitas seperti dukungan teknis yang berkelanjutan, akses ke forum pribadi di mana para peretas dapat bertukar kiat dan informasi, portal pemrosesan pembayaran (karena sebagian besar pembayaran tebusan diminta dalam mata uang kripto yang tidak dapat dilacak seperti Bitcoin), dan bahkan alat dan dukungan untuk menulis catatan tebusan khusus atau menegosiasikan permintaan tebusan.

Tantangan keamanan siber dari serangan RaaS

Meskipun potensi keuntungan merupakan faktor utama dalam perkembangan RaaS, program afiliasi juga memberikan keuntungan tambahan bagi para peretas dan pengembang ransomware - dan program ini memberikan tantangan tambahan bagi para profesional keamanan siber

Atribusi berulang dari insiden ransomware. Di bawah model RaaS, orang-orang yang melakukan serangan siber mungkin bukan orang yang sama yang mengembangkan malware yang digunakan. Selain itu, kelompok peretasan yang berbeda mungkin menggunakan ransomware yang sama. Para profesional keamanan siber mungkin tidak dapat mengaitkan serangan secara definitif dengan kelompok tertentu, sehingga lebih sulit untuk membuat profil dan menangkap operator dan afiliasi RaaS. 

Spesialisasi penjahat siber. Sama seperti ekonomi yang sah, ekonomi kejahatan siber telah mengarah pada pembagian kerja. Aktor ancaman sekarang dapat mengkhususkan diri dan memperbaiki kerajinan mereka. Pengembang dapat berfokus pada pembuatan malware yang semakin kuat, dan afiliasinya dapat berfokus pada pengembangan metode serangan yang lebih efektif. Kelas ketiga dari penjahat siber, yang disebut "pialang akses", mengkhususkan diri dalam menyusup ke jaringan dan menjual titik akses ke penyerang. Spesialisasi memungkinkan peretas bergerak lebih cepat dan melakukan lebih banyak serangan. Menurut Indeks X-Force Threat Intelligence, waktu rata-rata untuk melakukan serangan ransomware turun dari 60+ hari pada 2019 menjadi 3,85 hari pada 2022. 

Ancaman ransomware yang lebih tangguh. RaaS memungkinkan operator dan afiliasi untuk berbagi risiko, membuat masing-masing lebih tangguh. Menangkap afiliasi tidak menutup operator, dan afiliasi dapat beralih ke perangkat ransomware lain jika operator tertangkap. Para peretas juga diketahui mengatur ulang dan mengubah nama aktivitas mereka untuk menghindari pihak berwenang. Sebagai contoh, setelah Kantor Pengawasan Aset Luar Negeri (OFAC) AS memberikan sanksi kepada geng ransomware Evil Corp, para korban berhenti membayar uang tebusan untuk menghindari hukuman dari OFAC. Sebagai tanggapan, Evil Corp mengubah nama ransomware-nya beberapa kali (tautan berada di luar ibm.com) untuk menjaga agar pembayaran tetap berjalan. 

Varian RaaS yang terkenal

Mungkin sulit untuk menentukan geng mana yang bertanggung jawab atas ransomware mana atau operator mana yang secara resmi aktif pada waktu tertentu. Meskipun demikian, para profesional keamanan siber telah mengidentifikasi beberapa operator RaaS utama selama bertahun-tahun, termasuk:

  • Tox: Pertama kali diidentifikasi pada tahun 2015, Tox dianggap oleh banyak orang sebagai RaaS pertama.
  • LockBit: LockBit adalah salah satu varian RaaS yang paling luas saat ini, menyumbang 17% dari insiden ransomware yang diamati pada tahun 2022, lebih banyak daripada jenis lainnya. LockBit sering menyebar melalui email phishing. Khususnya, geng di belakang LockBit telah mencoba merekrut afiliasi yang bekerja untuk target korban mereka, membuat infiltrasi lebih mudah. 
  • DarkSide: Varian ransomware DarkSide digunakan dalam serangan tahun 2021 terhadap U.S. Colonial Pipeline, yang dianggap sebagai serangan siber terburuk terhadap infrastruktur penting AS hingga saat ini. DarkSide ditutup pada tahun 2021, tetapi pengembangnya merilis kit RaaS penerus yang disebut BlackMatter.
  • REvil/Sodinokibi: REvil, juga dikenal sebagai Sodin atau Sodinokibi, memproduksi ransomware di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited. Pada puncaknya, REvil adalah salah satu varian ransomware yang paling luas, terhitung 37% dari serangan ransomware pada tahun 2021. Dinas Keamanan Federal Rusia menutup REvil dan mendakwa beberapa anggota kunci pada awal 2022, tetapi infrastruktur RaaS geng ini muncul kembali pada April 2022 (tautan berada di luar ibm.com)
  • Ryuk: Sebelum ditutup pada tahun 2021, Ryuk adalah salah satu operasi RaaS terbesar. Pengembang di belakang Ryuk kemudian merilis Conti, varian RaaS utama lainnya, yang digunakan dalam serangan terhadap pemerintah Kosta Rika pada tahun 2022 (tautan berada di luar ibm.com).
  • Hive: Hive menjadi terkenal pada tahun 2022 setelah serangan terhadap Microsoft Exchange Server. Afiliasi Hive merupakan ancaman yang signifikan bagi perusahaan keuangan dan organisasi perawatan kesehatan hingga FBI menutup operator ini pada tahun 2023 (tautan berada di luar ibm.com). 
Melindungi dari RaaS

Meskipun RaaS telah mengubah lanskap ancaman, banyak praktik standar untuk proteksi ransomware yang masih efektif untuk memerangi serangan RaaS. Banyak afiliasi RaaS yang kurang mahir secara teknis dibandingkan dengan penyerang ransomware kemarin. Menempatkan penghalang yang cukup antara peretas dan aset jaringan dapat menghalangi beberapa serangan RaaS sepenuhnya. Taktik keamanan siber tambahan mungkin mencakup: 

Solusi terkait
IBM Security® QRadar® SIEM

Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan perbaikan segera.

Jelajahi solusi QRadar SIEM

IBM Security QRadar EDR

Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.

Jelajahi QRadar EDR

Solusi perlindungan ransomware

Hentikan ransomware agar tidak mengganggu kelangsungan bisnis, dan pulihkan dengan cepat saat serangan terjadi-dengan pendekatan zero trust yang membantu Anda mendeteksi dan merespons ransomware dengan lebih cepat dan meminimalkan dampak serangan ransomware.

Jelajahi solusi perlindungan ransomware
Sumber daya Indeks X-Force® Threat Intelligence

Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami bagaimana pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.

Panduan Definitif untuk Ransomware

Pelajari langkah-langkah penting untuk melindungi bisnis Anda sebelum serangan ransomware dapat menembus pertahanan Anda, dan untuk mencapai pemulihan yang optimal jika musuh menembus perimeter.

Biaya Pelanggaran Data

Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.

Lokakarya Framing dan Penemuan IBM Security®

Bekerja sama dengan arsitek dan konsultan keamanan senior IBM untuk memprioritaskan inisiatif keamanan siber Anda dalam sesi pemikiran desain selama 3 jam, baik secara virtual maupun tatap muka, yang bebas biaya.

Warga negara yang lebih aman, komunitas yang lebih kuat

Los Angeles bermitra dengan IBM Security untuk membuat grup berbagi ancaman siber pertama untuk melindungi dari kejahatan siber.

Apa itu SIEM?

Informasi keamanan dan manajemen peristiwa (SIEM) menawarkan pemantauan dan analisis peristiwa secara real-time serta pelacakan dan pencatatan data keamanan untuk tujuan kepatuhan atau audit.

Ambil langkah selanjutnya

Ancaman keamanan siber menjadi lebih canggih dan lebih gigih, dan menuntut lebih banyak upaya dari analis keamanan untuk menyaring peringatan dan insiden yang tak terhitung jumlahnya. IBM Security QRadar SIEM memudahkan untuk memulihkan ancaman dengan lebih cepat sekaligus mempertahankan keuntungan Anda. QRadar SIEM memprioritaskan peringatan dengan akurasi tinggi untuk membantu Anda menangkap ancaman yang terlewatkan oleh orang lain.

Pelajari lebih lanjut tentang QRadar SIEM Minta demo QRadar SIEM