Ransomware Tidak Kembali. Itu Tidak Pernah Meninggalkan


Setelah berbulan-bulan eskalasi dramatis, dua geng ransomware terkemuka yang berbasis di Rusia, REvil dan Darkside, diam selama berminggu-minggu musim panas ini. Jeda itu terjadi ketika Gedung Putih dan penegak hukum AS berjanji untuk memerangi ransomware dan menentang pemerintah yang tampaknya menawarkan “pelabuhan yang aman” bahkan untuk geng yang paling sembrono. Keheningan itu resmi berakhir.

REvil dan Darkside meluncurkan serangan dahsyat di paruh pertama musim panas terhadap perusahaan layanan TI yang memiliki posisi baik Kaseya, sistem distribusi bahan bakar Colonial Pipeline pantai timur, dan penyedia daging global JBS. Saat dampaknya meningkat, dan baru saja berkomitmen pada gugus tugas ransomware publik-swasta pada akhir April, penegak hukum AS mulai bertindak. Pada bulan Juni, FBI melacak dan menyita cryptocurrency senilai lebih dari $4 juta yang dibayarkan Colonial Pipeline ke Darkside. Dan NS Washington Post melaporkan minggu ini bahwa FBI menyita kunci dekripsi dari server REvil untuk ransomware Kaseya, tetapi tidak merilisnya sehingga mereka dapat melakukan operasi terhadap infrastruktur geng. REvil tiba-tiba offline sebelum pejabat dapat bertindak atas rencana tersebut.

Wakil penasihat keamanan nasional Gedung Putih Anne Neuberger bahkan mencatat pada awal Agustus bahwa BlackMatter—penerus nyata Darkside dengan kesamaan teknis—telah berkomitmen untuk menghindari target infrastruktur penting dalam serangannya. Dia menyarankan bahwa Kremlin mungkin mengindahkan permintaan dan peringatan yang dibuat Presiden Joseph Biden tentang ransomware di awal musim panas.

“Kami telah mencatat penurunan ransomware, dan kami pikir ini adalah langkah penting dalam mengurangi risiko bagi orang Amerika,” tambah Neuberger awal bulan ini. “Mungkin ada sejumlah alasan untuk itu, jadi kami mencatat tren itu dan kami berharap tren itu terus berlanjut.”

Tampaknya tidak mungkin. REvil dan geng lainnya muncul kembali setelah akhir pekan Hari Buruh. Awal pekan ini, peretas Rusia dari BlackMatter meluncurkan serangan ransomware yang menuntut $5,9 juta dari koperasi gandum Iowa, New Cooperative—kunci target infrastruktur penting untuk pasokan makanan AS. Sementara itu, pada hari Senin, Badan Keamanan Cybersecurity dan Infrastruktur, Badan Keamanan Nasional, dan FBI mengeluarkan peringatan bersama bahwa mereka telah mengamati lebih dari 400 total serangan dari waktu ke waktu yang menggunakan ransomware Conti, yang didistribusikan oleh ransomware-as-a-service yang berbasis di Rusia. geng yang terlibat dalam serangan rumah sakit tahun lalu.

Pemerintah AS mendorong maju dengan respons ransomware secara keseluruhan. Pada hari Selasa, Departemen Keuangan mengatakan akan memberikan sanksi kepada pertukaran cryptocurrency Suex atas dugaan keterlibatannya dalam pencucian uang tebusan. Departemen Keuangan juga mengatakan bahwa semua korban ransomware harus menghubungi departemen sebelum memutuskan untuk membayar uang tebusan untuk menghindari pelanggaran sanksi, panggilan yang sesuai dengan upaya Gedung Putih yang lebih luas untuk membuat korban mengungkapkan ketika mereka terkena ransomware. AS tidak memiliki kumpulan data pusat yang mencerminkan setiap serangan, dan perusahaan sering kali lebih memilih untuk merahasiakan insiden jika memungkinkan.

Peretas tampaknya siap dan mau beradaptasi dengan upaya penegakan hukum AS. Beberapa kelompok telah mulai secara proaktif memperingatkan para korban untuk tidak mengungkapkan serangan kepada pemerintah, mengancam akan merilis file curian jika target melaporkan situasi tersebut. Dan geng-geng mungkin hanya menggunakan waktu mereka di bawah tanah untuk menyusun strategi, berkumpul kembali, dan memperlengkapi kembali sementara dampak dari serangan profil tinggi meledak.

“Ini benar-benar permainan yang panjang—segera setelah Anda memiliki satu kelompok yang mengatakan bahwa mereka telah pergi, ada satu lagi tepat di belakang mereka untuk masuk,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Dan meskipun pada bulan Juli dan Agustus sepertinya jumlahnya mungkin turun, masih ada serangan harian dan data korban yang diposting di situs web gelap setiap hari. Jadi kabar baiknya adalah bahwa pemerintah AS tampaknya mengambil tindakan dan menjadikan ini sebagai prioritas; masih terlalu dini untuk menyatakan kemenangan.”

Diposting oleh : SGP Prize