Posted by Departemen Luar Negeri AS telah mengumumkan hadiah uang hingga $10 juta untuk informasi tentang individu yang memegang posisi penting dalam operasi ransomware Hive.
Mereka juga memberikan tambahan $5 juta untuk hal-hal spesifik yang dapat mengakibatkan penangkapan dan/atau hukuman terhadap siapa pun yang “berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam aktivitas ransomware Hive.”
Hadiah jutaan dolar ini diberikan kurang lebih setahun setelah upaya penegakan hukum terkoordinasi secara diam-diam menyusup dan membongkar infrastruktur darknet yang terkait dengan geng ransomware-as-a-service (RaaS) Hive. Satu orang yang diduga terkait dengan kelompok tersebut ditangkap di Paris pada Desember 2023.
Hive, yang muncul pada pertengahan tahun 2021, menargetkan lebih dari 1.500 korban di lebih dari 80 negara, dan menghasilkan pendapatan ilegal sekitar $100 juta. Pada bulan November 2023, Bitdefender mengungkapkan bahwa grup ransomware baru bernama Hunters International telah memperoleh kode sumber dan infrastruktur dari Hive untuk memulai upayanya sendiri.
Ada beberapa bukti yang menunjukkan bahwa pelaku ancaman yang terkait dengan Hunters International kemungkinan besar berbasis di Nigeria, khususnya individu bernama Olowo Kehinde, berdasarkan informasi yang dikumpulkan oleh peneliti keamanan Netenrich Rakesh Krishnan , meskipun bisa juga merupakan kepribadian palsu yang diadopsi oleh para pelaku untuk menutupi asal usul mereka yang sebenarnya.
Perusahaan analitik Blockchain Chainalysis, dalam ulasan tahun 2023 yang diterbitkan minggu lalu, memperkirakan bahwa kru ransomware meraup $1,1 miliar dalam pembayaran mata uang kripto yang diperas dari para korban tahun lalu, dibandingkan dengan $567 juta pada tahun 2022, semuanya mengkonfirmasi bahwa ransomware kembali meningkat pada tahun 2023 setelah penurunan relatif. pada tahun 2022.
“Tahun 2023 menandai kembalinya ransomware secara besar-besaran , dengan pembayaran yang memecahkan rekor dan peningkatan substansial dalam cakupan dan kompleksitas serangan – sebuah pembalikan signifikan dari penurunan yang diamati pada tahun 2022,” katanya .
Penurunan aktivitas ransomware pada tahun 2022 dianggap sebagai penyimpangan statistik, penurunan tersebut disebabkan oleh perang Rusia-Ukraina dan gangguan terhadap Hive. Terlebih lagi, total korban yang diposting di situs kebocoran data pada tahun 2023 sebanyak 4.496 orang, naik dari 3.048 orang pada tahun 2021 dan 2.670 orang pada tahun 2022.
Palo Alto Networks Unit 42, dalam analisisnya terhadap daftar publik korban geng ransomware di situs web gelap, menyebut manufaktur sebagai industri vertikal yang paling terkena dampak pada tahun 2023, diikuti oleh profesi dan layanan hukum, teknologi tinggi, ritel, konstruksi, dan sektor kesehatan.
Meskipun tindakan penegakan hukum ini mencegah pembayaran uang tebusan sebesar $130 juta kepada Hive, dikatakan bahwa penghapusan tersebut juga “kemungkinan besar berdampak pada aktivitas afiliasi Hive yang lebih luas, sehingga berpotensi mengurangi jumlah serangan tambahan yang dapat mereka lakukan.” Secara total, upaya ini mungkin telah menghemat setidaknya $210,4 juta pembayaran.
Selain peningkatan keteraturan, cakupan, dan volume serangan, tahun lalu juga terjadi lonjakan pendatang baru dan cabangnya, sebuah tanda bahwa ekosistem ransomware terus menarik banyak pemain baru yang tertarik dengan prospek keuntungan tinggi. dan menurunkan hambatan masuk.
Penyedia asuransi dunia maya Corvus mengatakan jumlah geng ransomware aktif mencatat peningkatan “signifikan” sebesar 34% antara Q1 dan Q4 2023, tumbuh dari 35 menjadi 47 baik karena perpecahan dan rebranding atau aktor lain yang berhasil mendapatkan encryptor yang bocor . Dua puluh lima kelompok ransomware baru muncul pada tahun 2023.
“Frekuensi rebranding, terutama di kalangan pelaku di balik strain terbesar dan paling terkenal, merupakan pengingat penting bahwa ekosistem ransomware lebih kecil dibandingkan jumlah strain yang muncul,” kata Chainalysis.
Selain perubahan besar ke perburuan hewan besar, yang mengacu pada taktik menargetkan perusahaan-perusahaan sangat besar untuk mendapatkan uang tebusan dalam jumlah besar, pembayaran uang tebusan terus disalurkan melalui jembatan lintas rantai , penukaran instan, dan layanan perjudian, yang menunjukkan bahwa kelompok kejahatan elektronik juga mengalami hal yang sama. perlahan-lahan menjauh dari bursa dan pusat pertukaran terpusat untuk mencari jalan baru untuk pencucian uang.
Pada bulan November 2023, Departemen Keuangan AS menjatuhkan sanksi terhadap Sinbad, sebuah perusahaan pencampur mata uang virtual yang digunakan oleh Grup Lazarus yang terkait dengan Korea Utara untuk mencuci hasil haram. Beberapa mixer lain yang disetujui termasuk Blender, Tornado Cash, dan ChipMixer.
Peralihan ke perburuan hewan besar juga merupakan konsekuensi dari semakin banyaknya perusahaan yang menolak untuk melakukan penyelesaian, karena jumlah korban yang memilih untuk membayar turun ke titik terendah baru sebesar 29% pada kuartal terakhir tahun 2023, menurut data dari Coveware .
“Faktor lain yang berkontribusi terhadap jumlah ransomware yang lebih tinggi pada tahun 2023 adalah perubahan besar dalam penggunaan kerentanan oleh pelaku ancaman,” kata Corvus, menyoroti eksploitasi kelemahan Cl0p di Fortra GoAnywhere dan Progress MOVEit Transfer .
“Jika malware, seperti pencuri informasi, terus menerus memberikan korban ransomware baru, maka kerentanan besar ibarat menyalakan keran. Dengan beberapa kerentanan, akses yang relatif mudah ke ribuan korban dapat terwujud dalam semalam.”
Perusahaan keamanan siber Recorded Future mengungkapkan bahwa kelompok ransomware yang mempersenjatai kerentanan keamanan terbagi dalam dua kategori: kerentanan yang hanya dieksploitasi oleh satu atau dua kelompok dan kerentanan yang telah dieksploitasi secara luas oleh banyak pelaku ancaman.
“Magniber secara unik berfokus pada kerentanan Microsoft, dengan setengah dari eksploitasi uniknya berfokus pada Windows Smart Screen,” katanya . “Cl0p secara unik dan terkenal berfokus pada perangkat lunak transfer file dari Accellion, SolarWinds, dan MOVEit. ALPHV secara unik berfokus pada perangkat lunak pencadangan data dari Veritas dan Veeam. REvil secara unik berfokus pada perangkat lunak server dari Oracle, Atlassian, dan Kaseya.”
Adaptasi berkelanjutan yang diamati di kalangan kru kejahatan dunia maya juga dibuktikan dengan meningkatnya infeksi DarkGate dan PikaBot setelah penghapusan jaringan malware QakBot, yang telah menjadi jalur masuk awal yang disukai ke dalam jaringan target untuk penyebaran ransomware.
“Kelompok Ransomware seperti Cl0p telah menggunakan eksploitasi zero-day terhadap kerentanan kritis yang baru ditemukan, yang merupakan tantangan kompleks bagi calon korban,” kata Unit 42 .
“Meskipun data situs kebocoran ransomware dapat memberikan wawasan berharga mengenai lanskap ancaman, data ini mungkin tidak secara akurat mencerminkan dampak penuh dari suatu kerentanan. Organisasi tidak hanya harus waspada terhadap kerentanan yang diketahui, namun mereka juga harus mengembangkan strategi untuk merespons dan melakukan mitigasi dengan cepat. dampak eksploitasi zero-day.”