Berlangganan bulanan

Afiliasi RaaS membayar biaya berulang—terkadang hanya USD 40 per bulan—untuk akses ke alat ransomware.

Biaya satu kali

Afiliasi membayar biaya satu kali untuk membeli kode ransomware secara langsung.

Program afiliasi

Afiliasi membayar biaya bulanan dan berbagi persentase kecil dari pembayaran tebusan yang mereka terima dengan operator.

Bagi hasil

Operator tidak memungut biaya apa pun di muka, tetapi mengambil potongan yang signifikan dari setiap tebusan yang diterima afiliasi, biasanya 30-40%.

 Perangkat RaaS diiklankan di forum dark web di seluruh ekosistem bawah tanah, dan beberapa operator ransomware secara aktif merekrut afiliasi baru, menggelontorkan jutaan dolar AS untuk perekrutan di dark web.

Setelah mereka membeli perangkat RaaS, afiliasi mendapatkan lebih dari sekadar malware dan kunci dekripsi. Mereka sering menerima tingkat layanan dan dukungan yang setara dengan vendor SaaS yang sah. Beberapa operator RaaS yang paling canggih menawarkan fasilitas seperti:

• Dukungan teknis berkelanjutan.
• Akses ke forum pribadi tempat peretas dapat bertukar tip dan informasi.
• Portal pemrosesan pembayaran—karena sebagian besar pembayaran tebusan diminta dalam mata uang kripto yang tidak dapat dilacak seperti Bitcoin.
• Alat bantu dan dukungan untuk menulis catatan tebusan khusus atau menegosiasikan permintaan tebusan.

Atribusi fuzzy dari serangan ransomware

Di bawah model RaaS, orang-orang yang melakukan serangan siber mungkin bukan orang yang sama yang mengembangkan malware yang digunakan. Selain itu, kelompok peretasan yang berbeda mungkin menggunakan ransomware yang sama. Para profesional keamanan siber mungkin tidak dapat secara pasti mengaitkan serangan dengan kelompok atau kelompok tertentu, sehingga lebih sulit untuk membuat profil dan menangkap operator dan afiliasi RaaS. 

Spesialisasi penjahat siber

Sama halnya dengan ekonomi yang sah, ekonomi kejahatan siber telah mengarah pada pembagian kerja. Pelaku ancaman sekarang dapat mengkhususkan diri dan memperbaiki karya mereka. Para pengembang dapat berfokus pada penulisan malware yang semakin kuat, dan afiliasinya dapat berfokus pada pengembangan metode serangan yang lebih efektif.

Ada kelas penjahat siber yang ke-3 bernama “perantara akses” yang mengkhususkan diri dalam meretas jaringan dan menjual titik akses ke penyerang. Spesialisasi memungkinkan peretas bergerak lebih cepat dan melancarkan lebih banyak serangan. Menurut Indeks X-Force Threat Intelligence, waktu rata-rata untuk mempersiapkan dan memulai serangan ransomware telah turun dari 60+ hari pada tahun 2019 menjadi 3,84 hari saat ini.

Ancaman ransomware yang lebih tangguh

RaaS memungkinkan operator dan afiliasi untuk berbagi risiko, sehingga masing-masing menjadi lebih tangguh. Menangkap afiliasi tidak mematikan operator, dan afiliasi dapat beralih ke perangkat ransomware lain jika operator tertangkap. Para peretas juga diketahui mengatur ulang dan mengubah nama aktivitas mereka untuk menghindari pihak berwenang.

Contohnya, setelah Office of Foreign Assets Control (OFAC) Amerika Serikat memberi sanksi kepada geng ransomware Evil Corp, korban berhenti membayar tebusan agar mencegah hukuman dari OFAC. Sebagai tanggapan, Evil Corp mengubah nama (tautan berada di luar ibm.com) dari ransomware untuk menjaga pembayaran tetap datang.

Taktik tekanan baru

Penjahat siber yang menggunakan serangan RaaS mendapati mereka sering kali meminta pembayaran tebusan yang lebih tinggi dan lebih cepat jika mereka tidak mengenkripsi data korban. Langkah tambahan dalam memulihkan sistem dapat memperlambat pembayaran. Selain itu, semakin banyak organisasi yang meningkatkan strategi pencadangan dan pemulihan mereka, sehingga enkripsi tidak terlalu berbahaya bagi mereka.

Sebaliknya, penjahat siber menyerang organisasi yang memiliki simpanan besar informasi identitas pribadi (PII)yang sensitif—seperti penyedia layanan kesehatan—dan mengancam untuk membocorkan informasi sensitif tersebut. Para korban sering membayar uang tebusan daripada menderita rasa malu—dan kemungkinan akibat hukum—dari kebocoran.

Tox

Pertama kali diidentifikasi pada tahun 2015, Tox dianggap oleh banyak orang sebagai RAA pertama.

LockBit

LockBit adalah salah satu varian RaaS yang paling meresap, menurut Indeks X-Force Threat Intelligence. LockBit sering menyebar melalui email phishing . Khususnya, geng di belakang LockBit telah mencoba merekrut afiliasi yang dipekerjakan oleh korban target mereka, membuat infiltrasi lebih mudah.

DarkSide

Varian ransomware DarkSide digunakan dalam serangan tahun 2021 terhadap Colonial Pipeline AS, yang dianggap sebagai serangan siber terburuk terhadap infrastruktur penting AS hingga saat ini. DarkSide ditutup pada tahun 2021, tetapi pengembangnya merilis kit RaaS penerus bernama BlackMatter.

Revil/Sodinokibi

REvil, juga dikenal sebagai Sodin atau Sodinokibi, memproduksi ransomware di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited. Pada puncaknya, REvil merupakan salah satu varian ransomware yang paling tersebar luas. Russian Federal Security Service menutup REvil dan mendakwa beberapa anggota kunci pada awal 2022.

Ryuk

Sebelum ditutup pada tahun 2021, Ryuk adalah salah satu operasi RaaS terbesar. Pengembang di balik Ryuk kemudian merilis Conti, varian RaaS utama lainnya, yang digunakan dalam serangan terhadap pemerintah Kosta Rika pada tahun 2022.

Hive

Hive menjadi terkenal pada tahun 2022 setelah serangan terhadap Microsoft Exchange Server. Afiliasi Hive merupakan ancaman yang signifikan bagi perusahaan keuangan dan organisasi layanan kesehatan sampai FBI menjatuhkan operator tersebut.

Black Basta

Muncul sebagai ancaman pada tahun 2022, Black Basta dengan cepat merenggut lebih dari 100 korban di Amerika Utara, Eropa, dan Asia. Dengan menggunakan serangan yang ditargetkan, para peretas akan menuntut pemerasan ganda: baik untuk mendekripsi data korban dan juga dengan ancaman merilis informasi sensitif ke publik.

CL0P

Pada tahun 2023, kelompok ransomware CL0P mengeksploitasi kerentanan pada aplikasi transfer file MOVEit untuk mengekspos informasi jutaan orang.

Eldorado

Eldorado RaaS diumumkan pada awal 2024 dalam sebuah iklan di forum ransomware. Dalam waktu tiga bulan, 16 korban telah diserang di Amerika Serikat dan Eropa.¹

Rencana respons insiden yang komprehensif

Perencanaan respons insiden dapat sangat membantu untuk serangan RaaS. Karena atribusi serangan bisa jadi sulit untuk ditentukan, tim repons insiden tidak dapat mengandalkan serangan ransomware yang selalu menggunakan taktik, teknik, dan prosedur yang sama (TTP).

Selain itu, ketika responder insiden mengeluarkan afiliasi RaaS, perantara akses mungkin masih aktif di jaringan mereka. Perburuan ancaman proaktif dan investigasi insiden menyeluruh dapat membantu tim keamanan memberantas ancaman yang licin ini. 

Alat bantu deteksi berbasis anomali

Untuk mengidentifikasi serangan ransomware yang sedang berlangsung, organisasi dapat menggunakan alat bantu deteksi berbasis anomali, seperti beberapa solusi deteksi dan respons titik akhir (EDR) dan deteksi dan respons jaringan (NDR). Berbagai alat bantu ini menggunakan fungsi otomatisasi cerdas, kecerdasan buatan (AI), dan machine learning (ML) untuk mendeteksi ancaman baru dan lanjutan hampir real-time dan memberikan perlindungan titik akhir yang lebih besar.

Serangan ransomware mungkin terlihat pada tahap awal dengan penghapusan cadangan yang tidak biasa atau proses enkripsi yang tiba-tiba dimulai tanpa peringatan. Bahkan sebelum serangan, kejadian anomali mungkin merupakan “tanda peringatan dini” akan adanya peretasan yang akan terjadi yang dapat dicegah oleh tim keamanan.

Mengurangi permukaan serangan jaringan

Organisasi dapat membantu mengurangi permukaan serangan jaringan mereka dengan melakukan penilaian kerentanan yang sering dan secara teratur menerapkan tambalan untuk menutup kerentanan yang sering dieksploitasi.

Alat bantu keamanan seperti perangkat lunak antivirus, orkestrasi keamanan, otomatisasi, dan respons (SOAR),  informasi keamanan dan manajemen peristiwa (SIEM), serta deteksi dan respons yang diperluas (XDR) juga dapat membantu tim keamanan mencegat ransomware lebih cepat.

Pelatihan keamanan siber

Tunjukkan kepada karyawan cara mengenali dan menghindari vektor ransomware umum termasuk phishing, rekayasa sosial, dan tautan berbahaya.

Menerapkan kontrol akses

Autentikasi multifaktor, arsitektur zero-trust, dan segmentasi jaringan dapat membantu mencegah ransomware menjangkau data sensitif.

Mempertahankan pencadangan

Organisasi dapat secara teratur melakukan pencadangan data sensitif dan gambar sistem, idealnya pada hard disk drive atau perangkat lain yang dapat diputuskan dari jaringan.

Bekerja sama dengan penegak hukum

Organisasi terkadang dapat menghemat biaya dan waktu penahanan dengan bantuan penegakan hukum.

Korban Ransomware yang melibatkan penegakan hukum menurunkan biaya pelanggaran mereka dengan rata-rata hampir USD 1 juta, belum termasuk biaya tebusan yang dibayarkan, menurut Laporan Biaya Pelanggaran Data IBM. Keterlibatan penegakan hukum juga membantu mempersingkat waktu yang diperlukan untuk mengidentifikasi dan mengatasi pelanggaran dari 297 hari menjadi 281 hari.