Sebuah laporan terbaru dari Coveware mengungkap perubahan besar dalam lanskap ransomware global, di mana para pelaku kini berevolusi dengan struktur organisasi yang lebih matang untuk menjalankan serangan yang semakin kompleks dan terarah.

Menjelang satu tahun runtuhnya dua kelompok ransomware ternama, LockBit dan BlackCat/ALPHV, ekosistem ransomware memang tampak terfragmentasi dan tidak stabil, namun di saat yang sama menunjukkan peningkatan signifikan dalam kecanggihan operasional.

Baca Juga: Situs Palsu India Post Digunakan untuk Sebarkan Malware ke Pengguna Windows dan Android

Coveware mencatat bahwa model Ransomware-as-a-Service (RaaS), yang sebelumnya mendominasi, kini telah rusak secara permanen. Penyebabnya antara lain:

• Konflik internal antar pelaku
• Penipuan terhadap afiliasi
• Kerugian finansial
• Bocornya identitas dan anonimitas

Sebagai akibatnya, struktur organisasi para pelaku ransomware kini bergeser ke dalam tiga model utama:

1. Operator tunggal tanpa afiliasi, yang bertindak secara mandiri.
2. Grup ransomware baru, yang memadukan motif keuangan dan spionase.
3. Kelompok tradisional, yang masih mengikuti pola-pola serangan konvensional.

Selama Q1 2025, sejumlah insiden menggambarkan pergeseran ini, di antaranya:

• Kampanye pencurian data oleh Clop, menargetkan platform Cleo Managed File Transfer
• Skema pemerasan palsu oleh BianLian, dengan pengiriman catatan fisik
• Kebocoran publik terhadap sistem Oracle Cloud Single Sign-On

Salah satu insiden paling mencolok adalah kebocoran log percakapan internal grup Black Basta pada Februari 2025. Data tersebut mengungkap bagaimana pelaku menyusun struktur organisasi, menganalisis risiko, dan menavigasi iklim regulasi dengan cara yang hampir menyerupai perusahaan legal.

Menurut Coveware, 60% kasus yang dianalisis melibatkan teknik penghindaran deteksi tingkat lanjut, termasuk:

• Menonaktifkan software keamanan dan Windows Defender
• Menghapus log aktivitas sistem
• Menggunakan skrip khusus yang diobfuski (disamarkan)

Lebih mengkhawatirkan lagi, pelaku kini menerapkan teknik Bring Your Own Vulnerable Driver (BYOVD), yaitu memanfaatkan driver sah yang memiliki kerentanan untuk mendapatkan eskalasi hak akses. Laporan juga mencatat bahwa target utama masih didominasi oleh organisasi berukuran kecil dan menengah, dengan ukuran median sekitar 228 karyawan. Namun, Coveware memperingatkan bahwa kita mungkin akan melihat kebangkitan serangan terhadap korporasi besar, seiring dengan keterlibatan aktor negara seperti China dan Korea Utara.

Motivasi serangan dari negara-negara ini bisa melampaui sekadar keuntungan finansial
termasuk untuk pendanaan rezim atau menyamarkan spionase digital sebagai kejahatan siber konvensional.

Meski ekosistem ransomware tampak terpecah setelah jatuhnya grup besar, kenyataannya ancaman justru semakin terstruktur dan canggih. Evolusi dalam organisasi, metode evasion, serta integrasi teknik spionase menjadikan ransomware bukan hanya urusan tebusan, tapi bagian dari konflik siber global yang terus berkembang.