Dunia siber kembali diguncang dengan kemunculan gelombang baru serangan ransomware yang semakin canggih. Serangan ini memanfaatkan file HTML berbahaya (.HTA) yang dipersenjatai untuk menyebarkan varian ransomware bernama Epsilon Red, dan telah menjangkiti pengguna internet secara global.

Kampanye ini terdeteksi sejak awal Juli 2025 dan menyamar sebagai laman verifikasi bertajuk “ClickFix”, menargetkan pengguna layanan populer seperti Discord, Twitch, Kick, dan OnlyFans. Taktik ini berhasil mengecoh banyak korban dengan menyamar sebagai proses otentikasi sebelum mengakses konten eksklusif.

Menurut laporan dari CloudSEK, serangan dimulai dari situs palsu yang mengarahkan korban ke halaman verifikasi. Setelah tombol ditekan, korban dialihkan ke halaman kedua yang memanfaatkan teknologi lama ActiveX dalam mesin Internet Explorer
yang masih aktif di sebagian besar sistem Windows lawas.

Baca Juga: Pemprov Jabar Dicatut dalam Isu Kebocoran Data 4,6 Juta Warga, Biro Pemotda Bantah Terlibat

Melalui ActiveX, skrip berbahaya dijalankan diam-diam dengan menggunakan Windows Script Host (WSH). Skrip ini membuka command shell tersembunyi, lalu mengeksekusi perintah PowerShell yang mengunduh dan menjalankan file biner jahat (vir.exe) langsung dari infrastruktur penyerang tanpa meninggalkan jejak file pada awalnya.

Para peneliti mengaitkan kampanye ini dengan domain berbahaya seperti:

• twtich[.]cc
• capchabot[.]cc

Serta alamat IP:

• 155.94.155.227:2269
• 213.209.150.188:8112

Hal ini mengindikasikan adanya jaringan terkoordinasi yang dioperasikan oleh satu kelompok siber, dengan kemampuan tinggi dalam menyusun taktik eksploitasi berbasis browser.

Begitu ransomware aktif, Epsilon Red langsung mengenkripsi data pengguna dengan cepat dan meninggalkan catatan tebusan yang menyerupai gaya komunikasi REvil, meskipun dengan perbedaan tata bahasa minor.

Yang lebih mengkhawatirkan, teknik ini menghindari deteksi oleh sistem keamanan umum, seperti SmartScreen, quarantine browser, serta antivirus berbasis tanda tangan.

Organisasi yang masih menggunakan sistem berbasis ActiveX atau plugin browser tidak terkelola menjadi target yang sangat rentan. Layanan produktivitas berbasis web juga berisiko tinggi jika tidak dilindungi oleh kebijakan browser modern.

CloudSEK menyarankan sejumlah langkah mitigasi darurat, termasuk:

• Menonaktifkan ActiveX dan Windows Script Host (WSH)
• Memblokir domain dan IP yang teridentifikasi
• Menerapkan kebijakan browser modern dan zero-trust
• Melakukan simulasi phishing secara rutin pada karyawan
• Menggunakan EDR dan pemantauan jaringan yang aktif

Kampanye ransomware ini menunjukkan bahwa peretas kini tidak hanya mengandalkan teknik lama, tetapi juga menggabungkannya dengan rekayasa sosial yang meyakinkan untuk memperdaya korban. Penggunaan tampilan verifikasi palsu menjadi tren baru yang efektif dalam menjangkau pengguna biasa.

Dengan peningkatan eskalasi seperti ini, organisasi dan pengguna pribadi harus semakin waspada dan tidak mengabaikan peringatan terkait keamanan siber.