Setahun Geng REvil/Sodinokibi Klaim Kumpulkan Rp 1,48 Triliun

Cyberthreat.id – Berapa kira-kira uang hasil peretasan yang dikumpulkan oleh penjahat spesialis ransomware?

Sejak kemunculannya pada September 2019, reinkarnasi dari geng GandCrab yang “dipensiunkan”—Geng REvil (Sodinokibi) baru-baru ini mengklaim telah mengumpulkan uang sekitar US$ 100 juta atau sekitar Rp 1,48 triliun.

Uang tersebut merupakan hasil pemerasan mereka kepada korbannya. Selama ini, peretas ransomware biasa memaksa korbannya untuk membayar uang tebusan dalam jumlah besar dalam bentuk cryptocurrency—biasanya Bitcoin.

Taktik mereka yaitu, selain menyandera atau mengenkripsi data-data korban, juga mengancam akan mempublikasikan data di dark web. Tren setahun belakangan, data itu diperjualbelikan antarparetas atau pihak tertentu.

Menurut BleepingComputer, diakses Jumat (30 Oktober 2020), geng REvil menargetkan kekayaan dari peretasan sebesar US$ 2 miliar.

Di sebuah forum cybercriminal, perwakilan geng REvil yang menggunakan nama alias “UNKN” dan “Unknown” sempat menceritakan aktivitas grup dan rencana mereka ke depan.

Seperti hampir semua geng ransomware, REvil tidak hanya melakukan sendiri operasi peretasan, tapi mereka menyewakan alat atau exploit-nya kepada siapa saja. Ini dikenal dengan model Ransomware-as-a-Service (Raas).

Dengan model begitu, mereka cukup menunggu pembagian hasil dari penyewa malware, tentu saja.

"Sebagian besar pekerjaan dilakukan oleh distributor dan ransomware hanyalah alat, jadi menurut mereka itu adalah pembagian yang adil," kata perwakilan REvil, Unknown, dalam wawancaranya dengan OSINT Rusia, sebuah blog teknologi.

Menurut BleepingComputer, Unknown mengonfirmasi wawancara (dalam bahasa Rusia) itu benar-benar nyata.

Pengembang mengambil jatah 20-30 persen dan sisa tebusan diberikan ke grup afiliasi yang menjalankan serangan, mencuri data, dan ‘meledakkan’ ransomware di jaringan perusahaan korban, tulis BleepingComputer. Dalam hal ini, pengembang malware menetapkan jumlah tebusan, menjalankan negosiasi, dan mengumpulkan uang yang kemudian dibagi dengan afiliasi.

REvil terkenal menargetkan perusahaan-perusahaan besar, seperti Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, SeaChange International, CyrusOne, Sistem Informasi Artech, Bandara Internasional Albany, Kenneth Cole, dan GEDIA Automotive Group.

Namun, mayoritas target mereka ialah perusahaan yang bergerak di sektor asuransi, hukum, dan pertanian.

REvil mengklaim, penyewa ransomware-nya mampu menembus jaringan Travelex dan GSMLaw hanya dalam tiga menit dengan mengeksploitasi kerentanan di Pulse Secure VPN yang tidak ditambal selama berbulan-bulan, padahal pembaruan perbaikan telah tersedia.

Taktik DDoS

Selain mengenkripsi dan mengancam mempublikasikan data-data yang dicuri, geng REvil juga mengadopsi taktik lain untuk mendapatkan penghasilan, yaitu memukul korban dengan serangan distributed denial of service (DDoS) untuk memaksa mereka setidaknya (kembali) mulai menegosiasikan pembayaran.

Serangan terbaru mereka pada September lalu yaitu BancoEstado, sebuah bank komersial di Chile. Insiden ini menyebabkan bank menutup semua cabangnya selama sehari, tapi perusahaan mengklaim layanan perbankan online, aplikasi, dan ATM tak terpengaruh serangan siber.

Unknown mengatakan REvil sebetulnya tidak membuat malware pengenkripsi file dari awal, tetapi membeli kode sumber dan mengembangkannya untuk membuatnya lebih efektif.

REvil menggunakan kriptografi kurva elips (ECC) yang memiliki ukuran kunci lebih kecil daripada sistem kunci publik berbasis RSA.[]

Nama REvil terinsipirasi dari film Resident Evil. Malware mereka pertama kali terlihat pada April 2019 dan grup tersebut mulai mencari peretas terampil (pentester elite) tak lama setelah ransomware GandCrab tutup. Sebelum menutup bisnis mereka, pengembang GandCrab mengatakan telah menghasilkan US$ 150 juta. REvil tampaknya berambisi melampaui rekor ini.[]