Habis GandCrab, Terbitlah REvil /Sodinokibi

Northern Virginia., Cyberthreat.id - GandCrab telah berakhir sejak pembuatnya mengumumkan pensiun pada 31 Mei di forum hacker, exploit.in. Pembuat GandCrab mengaku mendapatkan penghasilan $2 miliar atau Rp 30 triliun lebih dari bisnis ransomware-as-a-service (RaaS). Dan mereka bangga dengan kesuksesan GandCrab  seperti yang tersirat dalam kalimat: "Kami bukti hidup bahwa Anda bisa melakukan kejahatan dan bebas dari hukuman." Benarkah mereka pensiun?

Para analis keamanan siber meragukan pembuat GandCrab benar-benar pensiun. GandCrab mungkin tidak akan lagi dijual sebagai RaaS, namun pembuatnya  sangat mungkin mempersiapkan produk baru. Setidaknya begitu hasil analisis Brian Krebs, mantan jurnalis The Washington Post yang berubah menjadi analis keamanan siber setelah jaringan rumahnya lumpuh diretas grup hacker China pada 2001.

Di situs krebsonsecurity.com, pada 15 Juli, Kreb memperkirakan REvil alias Sodinokibi merupakan ransomware GandCrab yang baru. Berikut ini poin analisis mengapa REvil/Sodin/Sodinokibi merupakan jelmaan GandCrab:

1. Pada akhir April,  periset Cisco Talos menemukan malware baru bernama Sodinokibi yang digunakan untuk membawa masuk GandCrab ke komputer yang diinfeksinya. Sebulan kemudian, akhir Mei, GandCrab pensiun.
2. Di medio Mei, seorang dengan username "Unknown" berniat merekrut hacker dan mendepositkan $130 ribu uang kripto di dua forum cybercrime. Aksi pamer ini ingin menunjukkan bahwa dia  bonafid untuk merekrut hacker dalam bisnis RaaS yang ditawarkannya. Setiap afiliasi akan mendapat jaminan $10 ribu dan 60% bagian dari uang tebusan dan 70% setelah 3 pembayaran tebusan pertama diterima.
3. Meski nama ransomware yang akan dipakai tidak disebutkan, Unknown menyatakan bahwa infeksi tidak boleh dilakukan terhadap komputer negara Commonwealth of Independent States (CIS), termasuk Armenia, Belarus, Kazakhstan, Kyrgyzstan, Moldova, Russia, Tajikistan, Turkmenistan, Ukraine dan Uzbekistan. 
4. Kaspersky Lab menemukan bahwa Sodinokobi/REvil memasukkan Suriah dari daftar negara yang harus dihindari. Yang menarik, GandCrab pernah juga mengeluarkan Suriah dari daftar operasi mereka. Di Oktober 2018, seseorang di Suriah mencuit di Twitter bahwa dia kehilangan semua foto almarhum anaknya karena komputernya terinfeksi GandCrab yang meminta tebusan $600. "Bagaimana saya bisa membayar $600 jika saya tidak punya cukup uang untuk memberi makan saya sendiri dan istri," katanya. Operator GandCrab kemudian merilis key deskripsi khusus untuk semua korban GandCrab di Suriah secara gratis. 
5. Periset siber asal Belanda, Tesorion, menemukan kesamaan antara GandCrab dan REvil dalam membuat URL yang digunakan sebagai bagian dari proses infeksi komputer. Analisisnya bisa dibaca di sini: https://www.tesorion.nl/aconnection-between-the-sodinokibi-and-gandcrab-ransomware-families/

Berdasarkan poin di atas, Kreb yakin bahwa tim GandCrab tidak pensiun tapi membentuk grup dan produk baru karena GandCrab telah mendapat sorotan yang dari penegak hukum seluruh dunia. Dan juga, kurang bisa dipercaya sekelompok penjahat siber yang sukses dan tidak terjangkau hukum bisa begitu saja meninggalkan usaha yang memberikan keuntungan sangat besar.