Situs Web Geng Ransomware REvil Menghilang Misterius
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Situs web yang biasa dioperasikan oleh peretas ransomware REvil/Sodinokibi secara misterius sejak Selasa (13 Juli 2021) dini hari menghilang.
“Baik portal pembayaran dan blognya, yang biasa dipakai untuk menungkap dan mempermalukan korban mereka karena menolak membayar uang tebusan, tidak dapat dijangkau,” tulis Reuters, Rabu (14 Juli 2021).
Geng tersebut biasa memakai situs web jelas dan dark web , yang hanya bisa diakses dengan browser tertentu, untuk mengekspose data-data curian dari serangan siber. Situs web juga dipakai untuk bernegosiasi dengan para korban menyankut nilai uang tebusan jika mereka tak ingin datanya diekspose.
“Sederhananya, gangguan ini secara umum artinya situs web berbasis onion sedang offline atau dinonaktifkan. Untuk mengetahuinya Anda butuh mengontak administrator dar situs onion tersebut,” ujar Al Smith dari Tor Project, dikutip dari BleepingComputer diakses Rabu (14 Juli 2021).
Tor Projekt, adalah lembaga non-profit yang mengembangkan perangkat lunak sumber terbuka Tor—akronim dari “The Onion Router”. Untuk mengakes situs web domain .onion, browser Tor inilah yang dipakai pengguna.
Sumber: BleepingComputer.
Geng REvil biasa memakai banyak alamat web, baik situs web jelas maupun di dark web, tapi dengan menghilang sekaligus secara bersamaan adalah yang tak biasa.
Situs web jelas decoder[.]re yang dioperasikan mereka juga tidak dapat menyelesaikan permintaan DNS, menunjukkan tulisan “This site can’t be reached”—kemungkinan catatan DNS untuk domain tersebut telah ditarik atau infrastruktur DNS backend telah dimatikan.
Alan Liska, peneliti keamanan siber dari Recorded Future, yang mengamati aktivitas REvil, mengatakan, situs web tersebut berubah offline sekitar pukul 01.00, Selasa dini hari.
Sementara, perwakilan geng ransomware LockBit pada Selasa sore, di sebuah forum peretasan berbahasa Rusia, XSS, mengabarkan bahwa geng REvil menghapus server mereka setelah mengetahui adanya panggilan paksa dari pengadilan (subpoena) pemerintah AS.
“Berdasarkan informasi yang belum terkonfirmasi, server REvil menerima permintaan hukum pemerintah yang memaksa REvil menghapus infrastruktur server sepenuhnya dan menghilang. Namun, ini belum terkonfirmasi,” demikian unggahan tersebut.
Sejak unggahan itu, admin XSS melarang “Unkown” REvil, perwakilan geng ransomware yang berkomunikasi dengan publik, dari forum tersebut.
“Sebagai aturan teknis, administrasi forum teratas melarang penggunanya ketika mereka dicurigai berada di bawah pengawasan polisi,” tutur Vitali Kremez, peneliti keamanan siber dari Advanced Intel.
REvil menjadi target pemerintah AS setelah beberapa kali menghantam perusahaan dan lembaga pemerintah. Terakhir, pada 2 Juli lalu, mereka mengenkripsi sekitar 60 penyedia layanan terkelola (MSP) dan lebih dari 1.500 bisnis perseorangan dengan memanfaatkan kerentanan zero-day (belum ditambal) di perangkat lunak manajemen jarak jauh, Kaseya VSA. Sebelumnya, mereka juga membuat kerepotan perusahaan migas terkemuka Colonial Pipeline.
Dari serangan itu, REvil sempat meminta uang tebusan sebesar US$70 juta (sekitar Rp1 triliun) jika perusahaan ingin mendapatkan kunci pembuka enkripsi (decryptor) universal untuk semua korban. Namun, tebusan itu kemudian melunak menjadi US$50 juta.
REvil diduga kuat sebagai hacker canggih yang berasal dari Rusia. Belum lama ini, menanggapi serangan ransomware tersebut, Presiden AS Joe Biden tengah berkoordinasi dengan Presiden Rusian Vladimir Putin untuk menindak kelompok peretas.
Jika Rusia tak bisa menindak peretas, kata dia, AS akan mengambil tindakan sendiri.
Ditanya oleh koresponden Reuters pada Jumat pekan lalu: apakah masuk akal untuk menyerang server Rusia yang digunakan dalam gangguan seperti itu, Biden berhenti, tersenyum dan berkata: "Ya."
Namun, bagi pendiri perusahaan intelijen ancaman, GroupSense, Kurtis Minder, server REvil kemungkinan seseorang entah pemerintah AS atau lainnya membuat grup tersebut offline. Ini justru menimbulkan ancaman karena bisa merusak decryptor yang dimiliki REvil, sehingga bisa menyulitkan perusahaan atau individu untuk memulihkan dari ransomware, kata dia.
Menghancurkan satu atau dua server kejahatan dunia maya tidak berkelanjutan dalam jangka panjang, ia menambahkan. "REvil adalah salah satu dari puluhan operator ransomware utama," katanya dikutip dari Reuters. "Apakah kita akan menyerang mereka semua?"
Yang terjadi pada REvil mengingatkan geng ransomware lain, seperti DarkSide dan Babuk, yang juga tutup secara sukarela setelah mendapat tekanan dan pengawasan dari penegak hukum.
Namun, ketika grup ransomware itu ditutup, operator dan afiliasi merekaa biasanya mengubah operasi baru untuk terus melakukan serangan ransomware. Sebelumnya, ketika GandCrab ditutup, tak lama kemudian REvil turun gunung. Babuk juga diluncurkan kembali sebagai Babuk v2.0 setelah grup aslinya terpecah karena perbedaan cara serangan dilakukan.[]
