Bisnis Baru Ransomware: Menjual Data Curian

Cyberthreat.id - Operator ransomware kini telah mengembangkan bisnisnya. Tidak lagi sekadar meminta uang tebusan agar korban mendapatkan datanya kembali, penjahat siber di belakang ransomware juga meneror korban dengan ancaman penyebaran data ke publik. Jika korban tidak membayar tebusan, operator ransomware akan mendapatkan uang dari menjual data korbannya.

Pada 11 Januari lalu, operator Sodinokibi alias REvil merilis data milik Artech Information System sebesar 337 Mb ke forum hacker dan malware Russia. "Ini hanya bagian kecil dari yang kami punya. Jika tidak ada perubahan, kami akan menjual sisanya, data pribadi dan komersial penting dan menarik kepada pihak ketiga, termasuk detil keuangan," begitu kata operator Ransomware yang memakai nama alias "Unknown".  (Orang yang sama ini juga, menurut krebsonsecurity.com, yang melakukan rekrutmen untuk distribusi ransomware baru di Juli 2019 seusai ransomware GandCrab pensiun pada Mei tahun yang sama. Karena itulah, selain kode di dalamnya sangat mirip kode GandCrab, bukan hal yang aneh jika Sodinokibi disebut-sebut sebagai jelmaan GandCrab.)

Rilis data milik Artech | image:  bleepingcomputer.com

Tidak banyak yang mengetahui Artech Information System telah diserang Sodinokibi. Website perusahaan penyedia jasa tenaga IT itu tidak bisa diakses. Korban terakhir Sodinokibi yang diketahui adalah Travelex, perusahaan valuta asing, dan bandara Albany. Bandara Albany telah membayar tebusan dan sistem komputernya berhasil pulih, sementara Travelex terlibat dalam negosiasi yang tampaknya buntu. Travelex yang diserang pada malam Tahun Baru 2020 kini terancam datanya akan dijual jika tidak membayar US$6 juta (naik dari permintaan sebelumnya yang hanya US$3 juta).

Modus baru ini membuat ransomware sekarang bukan hanya sekadar serangan malware namun juga pembobolan atau kebocoran data. Dan ini akan menjadi pelanggaran General Data Protection Regulation (GDPR) jika perusahaan korban juga beroperasi untuk pelanggan di Uni Eropa. Denda maksimal GDPR bisa mencapai US$ 20 juta atau maksimal 4% dari total penghasilan global. 

Pengembangan modus penjahat siber ransomware menjadi pencurian dan penjualan data korban sebetulnya sudah lama diperkirakan akan terjadi. "Kita tahu bahwa operator ransomware telah melihat semua data korban dan dalam beberapa kasus mencuri data itu sebelum mengenkripsinya, mereka tidak pernah benar-benar menjalankan ancaman untuk menyebarkan data itu," kata Lawrence Abrams, pendiri bleepingcomputer.com  

Yang menjadi pelopor adalah ransomware Maze. Cuma Ransomware ini yang menyatakan dalam catatan mereka ("readme.txt") bahwa mereka telah mendownload data dari komputer korban dan menyebarkannya jika tebusan tidak dibayar. GandCrab atau Sodinokibi tidak memiliki ancaman akan menyebarkan data. 

Catatan ransomware Maze | image: zdnet.com

Korban pertama penjualan data yang dicuri ransomware adalah Allied Universal. Maze meminta perusahaan keamanan Amerika Serikat (AS) itu membayar tebusan sebesar US$2,3 juta (hampir Rp 32 miliar) dalam bitocin agar data mereka dibebaskan dari enkripsi. Jika tidak dibayar, data mereka akan disebarkan ke publik.

Allied Universal merupakan perusahaan besar dengan karyawan yang mencapai 200.000 orang dan pendapatan tahunannya mencapai US$ 7 miliar. Namun, mereka hanya bersedia membayar tidak lebih dari US$50 ribu. Negosiasi buntu. Maze benar-benar menjalankan ancamannya dan menyebarkan data sebesar 700 Mb milik Allied Universal ke sebuah forum hacker. Dan itu hanya 10% dari data Allied Universal yang mereka curi. Operator Maze juga mengejek perusahaan keamanan tersebut yang menyimpan password informasi keamanan mereka dalam bentuk teks biasa. "Menyimpan password pfx [Personal Information Exchange] dalam teks biasa di pw.txt benar-benar 'keamanan' bagi sebuah perusahaan keamanan," begitu tulisan operator Maze kepada bleepingcomputer.com.

Untuk meningkatkan tekanan, Maze ransomware membuat website yang berisi daftar perusahaan korbannya yang menolak membayar tebusan pada 17 Desember 2019. "Inilah daftar perusahaan-perusahaan yang tidak ingin beekerjasama dengan kami, mencoba menyembunyikan kesuksesan kami menyerang sumber daya mereka. Nantikan database dan dokumen pribadi di sini. Ikuti berita ini!" Situs https://mazenews.top yang di-host di Irlandia ini sempat dihentikan otoritas keamanan AS namun hidup kembali pada 9 Januari lalu setelah hosting-nya pindah ke Singapura.

Peningkatan level ancaman ransomware ini menjadi tekanan besar bagi banyak perusahaan yang menjadi korban. Perusahaan antivirus Emsisoft yang berencana mempublikasi laporan tahunan ransomware pada 1 Januari 2020 akhirnya mempercepat rilisnya menjadi 12 Desember 2020 karena adanya perubahan taktik ini. Klik di sini untuk membaca laporannya.

Otoritas keamanan seperti FBI merekomendasikan para korban untuk tidak membayar ransomware karena tidak ada jaminan data bisa dipulihkan, selain itu membayar tebusan justru akan meningkatkan kekuatan kejahatan ini. Di sisi lain, selain data yang hilang, kini para korban akan menghadapi kasus kebocoran data. Operator ransomware menyatakan tidak rugi apapun jika tebusan tidak dibayar karena mereka bisa menjualnya ke pihak ketiga. Misalnya kepada TA2101, kelompok hacker baru yang tiga bulan belakangan ini sangat aktif mengoperasikan kampanye penipuan melalui email. Modus TA2101 adalah meniru email yang berasal dari Kantor Pos AS, Kementerian Keuangan Jerman, dan Badan Pajak Italia. Mereka menginfeksi komputer korban dan mengirimkan ransomware dan trojan perbankan.

Korban ransomware juga menghadapi dilema: apakah ada jaminan data yang telah dicuri akan dihapus selamanya oleh operator ransomware?  Kepada bleepingcomputer.com, operator Maze menyatakan bahwa ancaman penyebaran data itu hanya untuk mendapatkan uang, bukan data. "Itu hal yang logis. Jika kami diam saja, siapa yang akan percaya kami? Hal yang konyol berdiam diri sementara kami tidak mendapat apapun. Kami akan menghapus data itu karena tidak menarik minat kami. Kami bukan kelompok spionase atau tipe APT, data mereka tidak menarik minat kami."