Di Indonesia, Industri Ritel/Grosir, Transportasi & Logistik, dan Utilitas & Energi merupakan sektor industri yang paling banyak menjadi sasaran pemerasan ransomware di tahun 2023.

Di seluruh industri yang terdampak, Lockbit 3.0 merupakan kelompok ransomware yang paling aktif baik di lingkup global maupun di wilayah Asia Pasifik, dengan 928 postingan leak sites yang menyumbang 23% jumlah keseluruhan serangan global (Data berdasarkan momen sebelum diberlakukannya penegakan hukum terhadap gangguan LockBit baru-baru ini).

Namun, di Indonesia, ALPHV (BlackCat) merupakan kelompok yang paling aktif. Setidaknya terdapat 25 leak sites ransomware baru yang teramati pada tahun 2023; di mana Akira memimpin.

Terkait hal ini, Unit 42 dari Palo Alto Networks merilis laporan keamanan siber bertajuk Ransomware Retrospective 2024: Unit 42 Leak Site Analysis dan 2024 Incident Response Report.

Sebagai bagian dari Ransomware Retrospective, mereka menyelidiki 3.998 postingan situs bocoran (leak sites) dari berbagai kelompok ransomware.

Leak sites merupakan platform di mana para kelompok penjahat siber mengungkapkan data yang dicuri kepada publik sebagai cara untuk memaksa korban kebocoran data agar membayar uang tebusan.

Temuan utama dari investigasi ini diantaranya adalah: (1) Unit 42 mengamati peningkatan sebesar 49% YoY dalam serangan ransomware multi-extortion dari tahun 2022–2023 secara global.

Adi Rusli, Country Manager, Indonesia, Palo Alto Networks mengatakan, “Tidak mengherankan jika kelompok ransomware menunjukkan ketertarikan khusus pada industri ritel di Indonesia, terutama dengan meningkatnya tren digitalisasi.”

Namun, penting untuk dicatat bahwa tidak ada industri yang kebal dan luput terhadap serangan. Pelaku kejahatan tidak akan pilih-pilih; mereka mengincar target yang paling mudah dan mampu menghasilkan keuntungan yang paling besar.

Steven Scheurmann, Regional Vice President ASEAN, Palo Alto Networks menambahkan, “Konsekuensi yang ditimbulkan jika tidak mengutamakan keamanan di ranah siber bisa berakibat fatal dan merugikan bisnis.”

Oleh karenanya, lanjut Steven, “Pemilik bisnis, apapun industrinya, harus memprioritaskan pengamanan jaringan dan koneksi digital rantai pasokan mereka. Temuan dalam penelitian ini semakin menekankan pentingnya keamanan siber dan merupakan hal yang tidak bisa dinegosiasikan lagi agar bisnis dan organisasi dapat tetap produktif dan kompetitif.”

Unit 42 Laporan Respons Insiden 2024: Kecepatan Eksfiltrasi + Aktivitas Pendorong Vulnerabilities

Selain itu, Unit 42 juga mempelajari lebih dari 600 laporan insiden dari 250 organisasi untuk Incident Response Report tahun 2024. Hasil penyelidikan ini tidak hanya mencakup postingan leak sites ransomware, tetapi juga jumlah kasus secara keseluruhan.

Meskipun phishing secarahistoris merupakan taktik yang populer di kalangan kelompok penjahat siber, berdasarkan laporan tersebut, ternyata taktik tersebut mengalami penurunan.

Persentase phishing dengan insiden akses awal (initial access) turun dari sepertiga pada tahun 2022 menjadi hanya 17% pada tahun 2023.

Hal ini mengindikasikan adanya potensi berkurangnya penggunaan metode phishing, karena penjahat siber beradaptasi menggunakan metode penyusupan dengan teknologi yang lebih mutakhir dan efisien.

Para pelaku ancaman yang lebih berpengalaman mulai beralih dari kampanye phishing konvensional dan bersifat interaktif ke metode yang tidak terlalu mencolok dan bahkan memungkinkan otomatisasi dengan mengeksploitasi celah pada sistem dan kebocoran kredensial yang sudah ada sebelumnya.

Temuan utama lainnya dari laporan tersebut meliputi:

  • Pelaku ancaman yang lebih canggih mendapatkan initial access secara berbeda: Munculnya kecenderungan peningkatan yang signifikan terhadap eksploitasi kerentanan perangkat lunak dan API. Eksploitasi kerentanan tersebut menyumbang 38,60% dari total keseluruhan initial access pada tahun 2023, yang meningkat dari 28,20% pada tahun 2022.
  • Pelaku ancaman mengambil data tanpa pandang bulu: Dari 93% kasus, para pelaku ancaman cenderung untuk mencuri data secara acak ketimbang mencari data yang spesifik. Angka ini meningkat dari tahun 2022, di mana terdapat 81% kasus yang melibatkan pencurian data yang diambil bukan berdasarkan pada target tertentu. Bahkan pada tahun 2021, angkanya lebih rendah lagi, yaitu sebesar 67%. Lonjakan ini menunjukkan tren yang tengah berkembang di kalangan penjahat siber, karena mereka tampaknya mulai menebarkan jaring dengan jangkauan yang lebih luas, seperti mengumpulkan data apa pun yang bisa mereka akses, alih-alih berupaya untuk menemukan dan mengeksploitasi set data tertentu.
  • Penggunaan taktik pemerasan untuk mendapatkan hasil yang sebesar mungkin: Menariknya, meskipun tingkat taktik pemerasan dengan harassment (intimidasi) dan taktik pemerasan lainnya yang berkaitan dengan ransomware cenderung tidak mengalami peningkatan selama beberapa tahun terakhir, tingkat taktik pemerasan dengan intimidasi pada beberapa kasus di mana telah dilakukan proses transaksi pembayaran justru melonjak hingga 27 kali lipat sejak tahun 2021.
  • Semakin tinggi permintaan, semakin rendah pembayaran: Pada tahun 2023, rata-rata permintaan tebusan meningkat dari $650.000 (sekitar lebih dari Rp10 miliar) menjadi $695.000 (sekitar lebih dari Rp11 miliar) (3%↑), tetapi rata-rata pembayaran menurun dari $350.000 (sekitar lebih dari Rp5 miliar) menjadi $237.500 (sekitar lebih dari Rp3,5 miliar) (32%↓). Hal ini bisa jadi disebabkan oleh banyaknya organisasi yang melibatkan tim Penanggulangan Insiden (Incident Response team) yang memiliki kemampuan untuk melakukan negosiasi (yang mana tidak banyak dilakukan di tahun-tahun sebelumnya).

SF-Admin