Strategi eksploitasi kerentanan secara massal dan otomatisasi pengintaian sistem menjadi senjata ampuh bagi kelompok ransomware-as-a-service (RaaS) dalam beberapa kuartal terakhir, menurut laporan terbaru dari ReliaQuest, perusahaan intelijen ancaman siber global.

Dalam laporan kuartal II 2025, ReliaQuest menyebut kelompok ransomware seperti Qilin dan Akira sebagai pihak yang paling diuntungkan dari pendekatan ini. Qilin memanfaatkan celah keamanan kritis pada perangkat Fortinet (CVE-2024-55591 dan CVE-2024-21762), sementara Akira menyerang kelemahan pada SonicWall (CVE-2024-40766) dan Cisco (CVE-2023-20269).

Kelompok lain seperti Clop diketahui mengeksploitasi zero-day di perangkat transfer file terkelola, termasuk milik Cleo (CVE-2024-50623) dan MoveIT (CVE-2023-34362).

Kelompok ransomware baru, RansomHub, yang terafiliasi dengan aktor ancaman terkenal Scattered Spider, juga tampil mencolok dengan teknik serupa. Mereka mengeksploitasi rantai kerentanan dalam perangkat lunak manajemen jarak jauh SimpleHelp (CVE-2024-57726, CVE-2024-57727, dan CVE-2024-57728), serta mengeksploitasi Fortinet (CVE-2023-27997) dan Apache OpenWire (CVE-2023-46604).

Serangan biasanya menargetkan sistem yang tidak terkelola, tidak terdokumentasi, atau tidak diketahui secara menyeluruh. ReliaQuest menjelaskan bahwa aset tersembunyi semacam itu sering kali sulit atau bahkan mustahil untuk segera ditambal, sehingga memberi waktu bagi penyerang untuk mengembangkan dan menyebarkan eksploitasi.

“Misalnya, lebih dari sebulan setelah CVE-2024-21762 (kerentanan yang mendorong Qilin ke posisi puncak geng ransomware kuartal ini) ditambal, peneliti keamanan masih menemukan lebih dari 150.000 perangkat Fortinet FortiOS dan FortiProxy yang belum diperbarui,” tulis laporan tersebut.

Baca Juga: Ingram Micro Konfirmasi Serangan Ransomware, Sistem Pemesanan dan Pengiriman Terganggu

Dengan adanya otomatisasi dalam proses eksploitasi, kelompok RaaS mampu melancarkan serangan dalam waktu lebih cepat, sekaligus mempersempit ruang waktu bagi tim pertahanan untuk merespons. Hal ini terbukti dari meningkatnya jumlah korban kelompok seperti Qilin dan DragonForce pada kuartal ini, masing-masing naik sebesar 80% dan 115% dibanding kuartal sebelumnya.

Sebaliknya, geng lama seperti Clop mengalami penurunan aktivitas, menandakan bahwa teknik baru lebih efektif bagi kelompok yang adaptif dan inovatif.

Ancaman Semakin Berlipat dengan AI

Kekhawatiran terbesar bagi para pelindung jaringan kini adalah bagaimana penjahat siber memanfaatkan kecerdasan buatan (AI) untuk mempercepat penelitian dan eksploitasi kerentanan.

National Cyber Security Centre (NCSC) memperingatkan bahwa AI akan membuat beberapa aspek intrusi siber menjadi lebih efisien dan efektif, meningkatkan frekuensi dan intensitas ancaman.

“Jarak waktu antara pengungkapan kerentanan dan eksploitasi kini hanya tinggal beberapa hari, dan AI hampir pasti akan memperpendek waktu itu lebih jauh lagi,” tulis NCSC dalam pernyataannya.

Infrastruktur kritis dan sistem teknologi operasional (OT) disebut sebagai target paling rentan dalam lanskap baru ini.

Meski eksploitasi kerentanan tengah naik daun, metode lama seperti phishing belum ditinggalkan. Laporan dari KnowBe4 menunjukkan bahwa antara 1 November 2024 hingga 15 Februari 2025, terjadi peningkatan 58% dalam pengiriman ransomware melalui serangan phishing dibandingkan tiga bulan sebelumnya.

Lonjakan jumlah korban dan kemampuan eksploitasi yang semakin otomatis menunjukkan bahwa lanskap ransomware di 2025 menjadi lebih kompleks dan berbahaya. Kombinasi antara celah keamanan yang belum ditambal, teknik eksploitasi otomatis, dan pemanfaatan AI, membuat waktu untuk bertahan dan merespons menjadi semakin sempit bagi organisasi. Ke depan, sinergi antara patching cepat, pemantauan aset tersembunyi, serta peningkatan kesadaran keamanan menjadi kunci untuk meredam gelombang serangan yang semakin agresif.