Sebagai keamanan siber ancaman terus bertumbuh dalam skala, kecanggihan, dan niat. Penting bagi organisasi untuk memahami aktor-aktor utama, risiko-risiko yang muncul, dan teknik-teknik yang terus berkembang yang membentuk lanskap untuk membantu memperkuat pertahanan siber.
Laporan terbaru dari Bridewell menyoroti betapa dinamisnya lingkungan yang bermusuhan selama setahun terakhir.
Pimpinan Utama Intelijen Ancaman Cyber di Bridewell.
Pelaku ancaman telah mengubah perilakunya, menyempurnakan peralatannya, dan menyesuaikan taktiknya.
Berikut adalah beberapa hal penting yang perlu diketahui organisasi untuk menghadapi ancaman yang akan terjadi.
Maraknya Pencurian Data dan Pemerasan
Secara historis, ransomware taktik utamanya berpusat pada enkripsi data korban dan menuntut pembayaran untuk kunci dekripsi. Namun, serangan baru-baru ini menyoroti perubahan taktik, dimana pelaku ancaman kini memprioritaskan pencurian data dan pemerasan dengan mengancam akan mempublikasikan informasi yang dicuri kecuali uang tebusan dibayarkan.
Hal ini terlihat dalam serangan terhadap penyedia telekomunikasi Inggris Colt Technology Services, di mana kelompok ransomware Warlock mengeksploitasi kerentanan di dalamnya Microsoft SharePoint untuk menyusup ke sistem perusahaan.
Para penyerang mencuri beberapa ratus gigabyte data sensitif, termasuk informasi gaji karyawan, catatan keuangan, kontrak pelanggan, dan rincian arsitektur jaringan. Akibat tidak membayar uang tebusan, kelompok tersebut kemudian memposting daftar file di forum Tor Rusia, menawarkan lebih dari satu juta dokumen untuk dijual.
Demikian pula, kelompok ransomware Clop menunjukkan perubahan ini pada bulan Mei 2023 dengan mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit (CVE‑2023‑34362) untuk mengambil data dalam jumlah besar dari ratusan organisasi, termasuk perusahaan terkenal seperti BBC dan Boots. Daripada hanya mengenkripsi sistem, Clop mengancam akan mempublikasikan informasi yang dicuri melalui situs kebocorannya.
Evolusi ini mengeksploitasi meningkatnya tekanan peraturan dan reputasi yang dihadapi organisasi, khususnya di yurisdiksi dengan undang-undang privasi yang ketat. Ketika enkripsiserangan berbasis serangan sering kali mengakibatkan tuntutan tebusan individu yang lebih besar karena mendesaknya pemulihan layanan penting. Juga, perbaikan dalam pemulihan data dan kontrol cadangan secara tidak sengaja menjadikan pencurian dan pemerasan data sebagai alternatif yang lebih efektif bagi penyerang.
Operasi pencurian data besar-besaran baru-baru ini yang dilakukan oleh kelompok peretas seperti Scattered Spider dan Shiny Hunters, yang terkait dengan kolektif yang dikenal sebagai “Com” atau “Komunitas” telah menargetkan penyedia layanan perangkat lunak besar seperti Tenaga penjualan dan perusahaan lain yang berintegrasi dengan platform mereka. Hal ini kembali menyoroti keinginan untuk menggunakan pencurian data dan pemerasan dibandingkan menggunakan ransomware untuk mengenkripsi file korban.
Eksploitasi Kerentanan dan Perangkat Edge
Kerentanan yang belum ditambal pada sistem dan perangkat edge yang terhubung ke internet tetap menjadi vektor serangan utama bagi kelompok ransomware. Penyerang mengeksploitasi kelemahan dalam teknologi yang banyak digunakan termasuk VPNalat pemantauan jarak jauh, dan peralatan jaringan, untuk mendapatkan akses awal ke sistem perusahaan. Kerentanan ini memungkinkan terjadinya kompromi massal dalam skala besar dan merupakan kontributor utama keberhasilan kampanye ransomware.
Pada tahun 2024, kelompok ransomware terkenal, Clop dan Termite, muncul sebagai aktor yang sangat mahir dalam melakukan serangan terhadap layanan transfer file terkelola. Selain itu, awal tahun ini, Clop menargetkan Cleo, penyedia perangkat lunak integrasi perusahaan dan transfer file terkelola, dengan mengeksploitasi kerentanan zero-day (CVE-2024-50623) dalam perangkat lunak integrasinya.
Serangan ini berdampak pada lebih dari 80 organisasi, terutama di sektor telekomunikasi dan layanan kesehatan, yang mengakibatkan paparan data dan gangguan operasional secara signifikan. Baru-baru ini, kita telah melihat beberapa pelaku ancaman melakukan serangan luas yang menargetkan perangkat Fortinet, Cisco, dan Ivanti yang belum di-patch. Ini termasuk broker akses dan afiliasi yang terkait dengan kelompok ransomware Qilin, Akira, dan Ransomhub.
Pelaku Ransomware terus menargetkan hypervisor seperti lingkungan VMware ESXi, dengan tujuan mengganggu kondisi kritis infrastruktur TI dengan cepat. Kelompok seperti VanHelsing dan DragonForce telah dikaitkan dengan serangan baru-baru ini dan secara aktif menggunakan taktik ini dalam kampanye yang sedang berlangsung.
Sementara itu, musuh mengalihkan upaya mereka ke arah pengembangan kemampuan untuk menghindari sistem Endpoint Detection and Response (EDR), yang dikenal sebagai ‘EDR killers’, yang sering dicapai dengan penyalahgunaan driver yang rentan atau fitur perangkat lunak asli.
Keberhasilan serangan-serangan ini diperkuat dengan meningkatnya penggunaan alat Living-Off-the-Land Binaries (LOLBINs) dan Remote Monitoring and Management (RMM), metode lain yang digunakan untuk menghindari alat EDR dengan memungkinkan pelaku ancaman untuk berbaur dengan operasi sistem atau lingkungan normal agar tidak diketahui, sehingga membuat deteksi dan mitigasi jauh lebih sulit bagi organisasi.
Menyinggung keamanan alat tetap penting dalam operasi ransomware. Meskipun ada upaya gabungan dari Unit Kejahatan Digital (DCU), Fortra, dan Pusat Pembagian dan Analisis Informasi Kesehatan (Health-ISAC) dalam beberapa tahun terakhir untuk memerangi penggunaan salinan Cobalt Strike yang resmi dan lama, Cobalt Strike tetap menjadi alat keamanan ofensif yang paling banyak digunakan di antara operator ransomware.
Meskipun Fortra telah melaporkan penurunan sebesar 80% dalam salinan tidak sah yang diamati di alam liar selama dua tahun terakhir, pada kenyataannya situasinya masih berupa permainan kucing-kucingan karena infrastruktur C2 yang berbahaya dihapus dari penyedia hosting yang lebih bereputasi, dan operator hanya memindahkannya ke penyedia yang kurang bereputasi.
Meski begitu, perubahan ini masih memberikan beberapa keuntungan taktis bagi para pembela HAM, karena infrastruktur yang dihosting pada penyedia tingkat rendah lebih mungkin diblokir oleh produk keamanan seperti firewall generasi berikutnya dan proxy web.
Sementara itu, alat ofensif lainnya seperti Metasploit, Sliver, Brute Ratel dan varian yang lebih baru seperti Pyramid C2, a ular pitonKerangka kerja komando dan kontrol (C2) berbasis dan Adaptix C2 terus mendapatkan popularitas.
Pikiran terakhir
Memasuki tahun 2026, terlihat jelas bahwa penjahat dunia maya menjadi lebih gesit, lebih oportunis, dan lebih bertekad untuk mengeksploitasi kelemahan teknis dan kelemahan organisasi. Dengan meningkatnya model pemerasan yang mengutamakan pencurian data, peningkatan penargetan perangkat edge, dan penyempurnaan berkelanjutan terhadap alat-alat yang menghindari EDR, para pembela HAM menghadapi tantangan yang berkembang pesat yang menuntut kemampuan beradaptasi yang setara.
Organisasi harus memprioritaskan patching proaktif, memperkuat pemantauan di seluruh lingkungan hybrid, dan berinvestasi dalam intelijen ancaman yang mengimbangi perubahan taktik musuh. Mereka yang membangun ketahanan saat ini, melalui kesiapsiagaan, visibilitas, dan respons terhadap insiden yang kuat, akan berada pada posisi terbaik untuk menahan ancaman yang ada di depan.
Temukan Perangkat Lunak Antivirus terbaik: ulasan pakar, pengujian, dan pemeringkatan.
