Awal tahun 2022 masih menunjukkan bahwa geng ransomware tetap beroperasi meskipun ada peningkatan tekanan dari penegak hukum tetapi terdapat penurunan aktivitas dibandingkan dengan kuartal sebelumnya.
Ada beberapa kisah penting yang terjadi di dunia ransomware antara 1 Januari hingga 31 Maret 2022 berdasarkan informasi yang dimuat oleh digitalshadows.com. Salah satunya perang antara Rusia dan Ukraina telah menyebabkan banyak konflik bagi kelompok ransomware.
Kelompok ransomware Conti mengumumkan “dukungan penuh” untuk pemerintah Rusia, dan memperingatkan bahwa setiap serangan terhadap Rusia akan dibalas menggunakan kalimat “all [our] possible sources“. Pernyataan ini kemudian diubah kedalam bahasa yang lebih tajam. Grup ransomware lain yang memilih untuk mendukung Rusia adalah grup “STORMOUS”, yang menggunakan bahasa yang mirip dengan Conti. Kelompok pemerasan “CoomingProject” juga memposting pesan di saluran Telegramnya yang mengatakan bahwa mereka akan mendukung Rusia melawan serangan dunia maya.
Sedangkan “LockBit 2.0”, yang mengklaim memiliki anggota di seluruh dunia, termasuk Rusia dan Ukraina, mengatakan “not engange in any international conflict” karena apolitis.
Grup lain yang muncul dan menjadi headline di Q1 2022 adalah “ Lapsus$”. Seperti LockBit, Lapsus$ mengaku sebagai kelompok apolitis yang hanya tertarik mencari keuntungan. Dalam serangan pertamanya, Lapsus$ merusak situs web korban dan mengatakan “Anda telah mengalami serangan ransomware” (diterjemahkan dari bahasa Portugis). Kelompok itu juga mengaku telah mengekstrak data dari para korban dan membuat saluran Telegram di mana ia akan lanjut mengiklankan serangan dan kebocorannya secara publik.
Sementara Lapsus$ mengklaim telah menggunakan ransomware dalam serangan awalnya, tidak ada bukti kelompok tersebut pernah menggunakan malware enkripsi dalam serangannya. Dalam laporan terbaru yang dirilis oleh Microsoft , terungkap bahwa kelompok tersebut menggunakan kredensial curian dan teknik rekayasa sosial untuk mendapatkan akses ke korban, yang diikuti dengan upaya untuk mengekstrak atau menghancurkan data. Lapsus$ juga diamati menyebutkan nama perusahaan yang mengalami masalah konektivitas di saluran Telegramnya, seperti Discord dan BleepingComputer, yang menunjukkan bahwa grup tersebut bertanggung jawab atas penurunan situs, meskipun tidak ada bukti serangan apa pun.
Kemungkinan Lapsus$ mengklaim sebagai kelompok ransomware untuk menarik perhatian media dan memberikan tekanan lebih lanjut pada korban. Namun, grup tersebut tampaknya merupakan grup pemerasan yang mirip dengan “ShinyHunters”, “Tim Peretasan Karakurt”, “Marketo”, dan “CoomingProject”. Grup pemerasan mencuri file dan mencoba memeras korban, tetapi tidak mengenkripsi data apa pun.
Sumber :
Righi, Ivan. (2022, 12 April). Q1 2022 Ransomware Roundup. Digital Shadows. Diakses pada 26 April 2022, dari https://www.digitalshadows.com/blog-and-research/q1-2022-ransomware-roundup/.
