Lini Masa Geng Peretas Ransomware Conti

Ilustrasi | Foto: freepik.com

Cyberthreat.id – Bank Indonesia menjadi korban serangan ransomware pada Desember 2022.

Sebanyak 16 komputer milik kantor perwakilan BI Provinsi Bengkulu terkena dampak. File-file di komputer tersebut terkunci atau terenkripsi dengan menampilkan extension pada nama file, seperti Sender2.exe, v2.exe, dan v2c.exe.

DarkTracer, platform intelijen dark web, di akun Twitter-nya lebih dulu mengumumkan bahwa Bank Indonesia masuk daftar korban geng peretas ransomware Conti.

Conti termasuk salah satu geng peretas ransomware yang terkenal. Muncul baru pada Mei 2020, tapi sepak terjang “kebengisan”-nya membuat para korban tak berdaya dan memilih untuk membayar uang tebusan demi data-data yang dicuri kembali.

Perusahaan keamanan siber Coverware menyebut Conti memiliki pangsa pasar tertinggi kedua setelah geng ransomware REvil/Sodinokibi.

Peretas tersebut menggunakan berbagai teknik untuk mendapatkan kredensial admin domain. Setelah memiliki hak istimewa di komputer korban, mereka menyebarkan ransomware untuk mengenkripsi perangkat di jaringan.

Conti dikenal memiliki kemampuan untuk di luar radar perangkat lunak antivirus atau antimalware. Operator malware ini menggunakan pengkodean string unik yang diterapkan ke hampir setiap teks string yang digunakan.

Sebagai jenis Ransomware-as-a-Service (RaaS), operator malware ini diduga kuat berasal dari Rusia yang dikenal sebagai “Wizard Spider”.

Dalam catatan Cyberthreat.id, berikut ini jejak geng Conti selama bergerilya di alam liar sejak 2020.

2020

#AGUSTUS

  • Conti menyerang Universitas Utah, AS. Data mahasiswa dicuri dan mengancam akan merilis di internet. Mereka meminta uang tebusan sebesar Rp6 miliar.
  • Media bulan ini, Conti turut mengikuti tren peretas ransomware, seperti AKO,  Avaddon, Babuk Locker, CLOP, DarkSide DopplePaymer, MAzer dan lain-lain dengan menerbitkan situsweb kebocoran data.

#SEPTEMBER

  • Conti muncul pada 14 September 2020. Giliran The Fourth District Court, sebuah kantor pengadilan di negara bagian Louisiana, AS jadi korban. Dalam sejarah peretasan, peneliti keamanan siber Emsisoft, Brett Callow menyebut untuk pertama kalinya dokumen pengadilan dicuri dan disebarkan di dark web oleh peretas.

2021

#JANUARI

  • Mengawali tahun baru, tepatnya pada 14 Januari, SEPA atau Badan Perlindungan Lingkungan Skotlandia mengumumkan lembaganya terkena serangan ransomware. Data sebesar 1,2 GB telah dicuri. Conti mempublikasikan sampel data itu di situswebnya. Serangan sendiri terjadi pada 24 Desember 2020.

#FEBRUARI

  • Pada 10 Februari, Conti mempublikasikan data milik RS Leon Medical Centres di Miami dan RSU Nocona di Texas. Data itu mencakup data diri pasien dari nama, alamat, tempat tanggal lahir, dan diagnosis medis yang diposting di web gelap.

#APRIL

  • Pada 2 April geng Conti meminta tebusan US$500 atau setara sekitar Rp7,2 miliar untuk penyanderaan data sebuah sekolah di Florida, AS.

#MEI

  • Pada 16 Mei 2021, layanan kesehatan Irlandia menolak untuk membayar uang tebusan Rp284 miliar atas data-data yang dicuri. Conti mengklaim memiliki data RS sebesar 700GB.
  • Hingga Mei tahun ini, 16 layanan kesehatan di AS menjadi korban Conti.
  • FBI mengatakan, lebih dari 400 organisasi di seluruh dunia telah diserang Conti. Dari jumlah tersebut, 290 di antaranya di AS.

#JUNI

  • Pemerintah Tulsa di Oklahoma Amerika Serikat pada 24 Juni 2021 terkena ransomware. Geng Conti mengklaim bertanggung jawab atas penerbitan 18.938 file milik pemkot, terutama dokumen tilang polisi dan dokumen internal dalam bentuk file Word.

#AGUSTUS

  • Conti melancarkan serangan ke dua rumah sakit, yaitu Eskenazi Health di Indianapolis, Indiana dan Sanford Health di Sioux Falls, South Dakota pada 6 Agustus.
  • Serangan kedua terjadi pada 24 Agustus dengan korban anak Perusahaan Nokia di AS dan berhasil mencuri data pribadi kepegawaian milik SAC Wireless.

#SEPTEMBER

  • Badan Keamanan Siber dan Infrastruktur AS (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federa (FBI) membuat peringatan akan peningkatan serangan ransomware Conti.

#NOVEMBER

  • Awal bulan, Conti membikin geger. Mereka membobol toko perhiasaan Graff yang salah satu pelanggannya, termasuk Donald Trump dan David Beckham. Conti berhasil mengambil sejumlah 69.000 dokumen rahasia, berupa file daftar pelanggan, faktur, kuitansi, dan nota kredit.
  • Conti meminta maaf kepada keluarga Kerajaan UEA, Qatar, dan Arab Saudi karena telah mempublikasikan data mereka ke situsbe kebocoran data. Data tersebut bagian dari dokumen pelanggan yang dicuri dari Graff. “Conti menjamin bahwa informasi apa pun yang berkaitan dengan anggota keluarga Arab Saudi, UEA, dan Qatar akan dihapus tanpa peninjauan apa pun,” tulis peretas.
  • Prodaft, perusahaan keamanan siber Swiss, membongkar jejak Conti. Mereka berhasil mendeteksi alamat protokol internet (IP) yang dipakai peretas—mengarah ke perusahaan web hosting Ukraina ITL LLC. Laporan setebal 37 halaman itu pun diberikan kepada penegak hukum.

2022

#JANUARI

  • DarkTracer, platform intelijen dark web, mengumumkan bahwa Bank Indonesia masuk daftar korban ransomware Conti. Mereka mengunggah sebuah tangkapan layar terhadap data yang diduga milik BI dengan ukuran 487,09 MB.
  • BI membenarkan bahwa telah terjadi serangan ransomware pada Desember 2020, tapi tak menyebutkan jenis ransomware-nya.
  • BSSN mengatakan serangan terjadi di kantor Perwakilan BI Provinsi Bengkulu. Sebanyak 16 komputer terenkripsi. Namun, peretas tidak meminta uang tebusan. BSSN dan BI mengklaim serangan tidak mengganggu layanan dan data kritis BI.[]

Redaktur: Andi Nugroho