Grup Ransomware Babuk Umumkan Ubah Pola Operasinya
Ilustrasi
Cyberthreat.id – Geng ransomware Babuk menghentikan operasi enkripsi ransomware dan berfokus pada pemerasan pencurian data.
Dalam sebuah pesan baru yang diposting di Jumat (30 April 2021), operator ransomware Babuk mengklarifikasi bahwa geng tersebut telah memutuskan untuk menutup program afiliasi dan beralih ke model pemerasan yang tidak bergantung pada enkripsi komputer korban.
Dikutip dari Bleeping Computer yang diakses pada Sabtu (1 April 2021), penjelasan tersebut muncul setelah sebelumnya operator ransomware memposting mengenai rencana mereka untuk menutup proyek dan merilis kode sumber untuk malware, namun kini postingan tersebut telah dihapus.
Geng ransomware Babuk nampaknya telah memilih jalan yang berbeda dari model ransomware-as-a-business (RaaS), di mana para peretas mencuri data sebelum mengunci sistem korban, sebagai upaya menekan pembayaran tebusan saat proses negosiasi.
Dalam pesan berjudul “Hello World 3” yang diposting di situs mereka, model Babuk yang baru diumumkan tetap hampir sama, kecuali komponen enkripsi datanya. Di mana, operator ransomware Babuk akan menjalankan bisnis pemerasan tanpa enkripsi, melainkan menuntut uang tebusan untuk informasi yang dicuri dari jaringan yang disusupi.
“Babuk mengubah arah, kami tidak lagi mengenkripsi informasi di jaringan, kami akan menghubungi Anda dan mengambil data Anda, kami akan memberi tahu Anda tentang hal itu jika Anda tidak menghubungi kami, kami membuat pengumuman,” ungkap Babuk dalam postingannya.
Dalam pesan hari ini, Babuk ransomware mengatakan bahwa meskipun mereka adalah tim baru di dunia ransomware, mereka sudah terkenal dalam bisnis ini karena mereka memiliki pentester terbaik dari jaringan gelap.
Selain itu, keuntungan dari bisnis pemerasan untuk Babuk ini masih belum diketahui saat ini, tetapi geng tersebut perlu mengekstraksi data dalam jumlah yang lebih besar daripada dalam kasus enkripsi.
Di situs mereka, Babuk mencantumkan satu korban yang diklaim telah menyalin 10 terabyte data mereka. Dari Metropolitan Police Department (MPD), serangan terbaru mereka, geng tersebut mengklaim telah mencuri 250GB data. Kemungkinan besar hal ini akan meningkatkan keuntungan grup baik dari permintaan tebusan yang lebih tinggi atau dari menjual data ke kompetisi atau pihak lain yang berkepentingan.
Operasi RaaS telah menjadi begitu besar dalam hal afiliasi sehingga sangat sulit untuk mengontrol setiap aspeknya. Akhir-akhir ini, ini diterjemahkan ke dalam perubahan teknis dan manajemen yang menyebabkan korban kehilangan data karena alat dekripsi berkualitas buruk atau harus berurusan dengan serangan berulang dari geng yang sama. Ini terjadi dengan Conti, Lockbit, dan REvil.
Masalah ini memengaruhi banyak geng ransomware yang mengandalkan reputasi mereka sebagai pihak yang menghormati akhir kesepakatan untuk menuntut uang tebusan yang lebih tinggi.
Memfiltrasi data untuk permintaan tebusan yang lebih tinggi merupakan salah satu praktik yang dimulai oleh ransomware Maze pada November 2019. Ini dengan cepat diadopsi oleh semua geng operator ransomware utama.
Pada awal 2021, diketahui bahwa Clop ransomware menjalankan serangkaian serangan pencurian data pada perusahaan bernilai tinggi tanpa mengenkripsi sistem dengan mengeksploitasi kerentanan zero-day di Alat Transfer File Accellion. Geng tersebut mencuri sejumlah besar file dan menuntut pembayaran dalam jumlah besar agar tidak membocorkan atau memperdagangkan data. Banyak korban membayar tebusan puluhan juta dolar.[]
Editor: Yuswardi A. Suud
