Ransomware telah menjadi salah satu ancaman kejahatan siber paling merusak di era digital saat ini. Kelompok-kelompok kriminal siber kini beroperasi layaknya perusahaan canggih bernilai miliaran dolar, secara sistematis menargetkan infrastruktur penting di berbagai negara.

Sebuah studi yang menganalisis serangan di Australia, Kanada, Selandia Baru, dan Inggris dari tahun 2020 hingga 2022 menemukan lebih dari 865 serangan ransomware. Para pelaku menggunakan teknik peretasan canggih yang mengenkripsi data korban, lalu menuntut tebusan dalam bentuk mata uang kripto sebagai syarat untuk mendapatkan kunci dekripsi.

Evolusi kejahatan ini telah melampaui sekadar pemerasan berbasis enkripsi. Modus "ekstorsi ganda" dan "ekstorsi tripel" kini marak, di mana penyerang tidak hanya mengenkripsi data, tetapi juga mengancam akan menjual atau mempublikasikan informasi sensitif yang berhasil mereka curi.

Kemunculan model Ransomware-as-a-Service (RaaS) secara fundamental mengubah ekosistem kejahatan siber. Model ini menciptakan pemisahan kerja antara pengembang inti (core developers) dan operator afiliasi (affiliate operators).

• Pengembang Inti berfokus pada pengembangan malware, infrastruktur distribusi, pemrosesan pembayaran korban, dan pemeliharaan situs untuk membocorkan data.
• Afiliasi menangani elemen taktis seperti kompromi sistem, penyebaran ransomware, dan negosiasi tebusan.

Hubungan berbasis pasar ini memungkinkan para penjahat siber beradaptasi dengan cepat terhadap tekanan penegakan hukum dan peluang pasar yang ada.

Baca Juga: Lumpuh Total Akibat Serangan Siber, Layanan Publik Nevada Berangsur Pulih

Penelitian menunjukkan bahwa kelompok yang mengadopsi model RaaS dan beroperasi secara berkelanjutan selama beberapa tahun berhasil melancarkan volume serangan yang jauh lebih tinggi dibandingkan operasi ransomware tradisional. Studi oleh Australian Institute of Criminology mengidentifikasi Conti sebagai organisasi ransomware paling produktif dengan 141 serangan, diikuti oleh varian LockBit dengan 129 serangan.

Data menunjukkan bahwa sektor industri menjadi target utama dengan 239 total serangan, diikuti oleh barang konsumsi (150 serangan), real estat (93 serangan), layanan keuangan (93 serangan), dan teknologi (92 serangan).

Preferensi terhadap sektor industri mencerminkan dua hal: sifat operasionalnya yang kritikal dan kerentanan mereka terhadap gangguan. Perusahaan industri cenderung lebih mungkin membayar tebusan untuk memulihkan kapasitas produksi secepatnya.

Peringkat Grup Ransomware Teraktif (2020-2022)

Kecanggihan teknis operasi ransomware modern melampaui sekadar enkripsi file. Mereka menerapkan mekanisme persisten dan teknik penghindaran deteksi.

Penyerang biasanya mendapatkan akses awal melalui serangan credential stuffing, eksploitasi kerentanan yang belum ditambal, atau kampanye rekayasa sosial (social engineering) yang menargetkan protokol remote desktop. Setelah berhasil masuk, mereka menggunakan teknik lateral movement dengan alat administratif yang sah seperti PowerShell untuk menghindari deteksi.

Fase persisten melibatkan pembangunan backdoor di seluruh jaringan yang dikompromikan, sering kali menggunakan proses sistem yang sah. Kelompok seperti Conti dan LockBit menerapkan protokol pengintaian (reconnaissance) yang canggih, memetakan arsitektur jaringan, mengidentifikasi data penting, dan mencari sistem cadangan sebelum melancarkan muatan enkripsi.

Proses enkripsi itu sendiri menggunakan algoritma kriptografi canggih sekelas militer, dengan banyak kelompok menggunakan skema enkripsi hibrida yang mengoptimalkan kecepatan dan keamanan.