Mobitekno – Unit 42, tim keamanan siber dari Palo Alto Networks baru saja merilis laporan keamanannya yang bertajuk “Ransomware Retrospective 2024: Unit 42 Leak Site Analysis dan 2024 Incident Response Report”. Laporannya terdiri dari dua bagian utama, yaitu Unit 42 Leak Site Analysis dan 2024 Unit 42 Incident Response Report.
Unit 42 Leak Site Analysis menganalisis data dari situs web yang digunakan oleh kelompok ransomware untuk mempublikasikan data curian korban mereka. Analisis ini membantu para ahli untuk memahami tren dan taktik terbaru yang digunakan oleh pelaku ransomware.
Sedangkan 2024 Unit 42 Incident Response Report merangkum pengalaman Unit 42 dalam membantu organisasi melawan serangan ransomware sepanjang tahun 2023. Laporan ini berisi wawasan tentang bagaimana pelaku kejahatan siber melancarkan serangan mereka dan bagaimana organisasi dapat meningkatkan pertahanan mereka.
Secara umum, laporan Unit 42 memberikan gambaran tentang lanskap ransomware yang terus berkembang dan pentingnya bagi organisasi di seluruh dunia untuk memiliki pertahanan keamanan siber yang kuat.
Laporan Unit 42 juga mengidentifikasi sedikitnya ada 25 kelompok ransomware baru yang bermunculan sepanjang tahun 2023. Namun, umumnya kelompok ransomware tersebut tidak akan bertahan lama.
Sebagai bagian dari Ransomware Retrospective, Unit 42 menyelidiki 3.998 postingan situs bocoran (leak sites) dari berbagai kelompok ransomware. Leak sites merupakan platform di mana para kelompok penjahat siber mengungkapkan data yang dicuri kepada publik sebagai cara untuk memaksa korban kebocoran data agar membayar uang tebusan.
Dari temuan Unit 42 diketahui adanya peningkatan signifikan sebesar 49% (YoY) dalam serangan ransomware multi-extortion dari tahun 2022–2023 secara global. Khusus di Indonesia, industri Ritel/Grosir, Transportasi & Logistik, dan Utilitas & Energi merupakan sektor industri yang paling banyak menjadi sasaran pemerasan ransomware di tahun 2023.
Lockbit 3.0: Kelompok ransomware paling aktif di global dan Asia Pasifik
Di total industri yang terdampak, Lockbit 3.0 merupakan kelompok ransomware yang paling aktif baik di lingkup global maupun di wilayah Asia Pasifik, dengan 928 postingan leak sites yang menyumbang 23% jumlah keseluruhan serangan global (Data ini berdasarkan momen sebelum diberlakukannya penegakan hukum terhadap gangguan LockBit baru-baru ini). Namun, di Indonesia, ALPHV (BlackCat) merupakan kelompok yang paling aktif. Setidaknya terdapat 25 leak sites ransomware baru yang teramati pada tahun 2023; di mana Akira memimpin.
Country Manager Indonesia, Palo Alto Networks, Adi Rusli melalui Virtual Media Briefing belum lama ini (8/7/2024) mengatakan bahwa industri ritel di Indonesia jadi target kelompok ransomware dipengaruhi oleh adanya tren digitalisasi. Namun, sebenarnya tidak ada industri yang kebal dan luput terhadap serangan.
Menurutnya, pelaku kriminal siber ini akan mereka mengincar target yang dianggap paling mudah dan mampu menghasilkan keuntungan yang paling besar, terlepas dari jenis industrunya.
Regional VP ASEAN, Palo Alto Networks, Steven Scheurmann dalam acara yang sama juga menyebutkan risiko konsekuensi fatal hingga kerugian bisnis jika tidak mengutamakan keamanan siber. Oleh karenanya, para pemilik bisnis, apapun industrinya, harus memprioritaskan pengamanan jaringan dan koneksi digital rantai pasokan mereka.
“Temuan dalam penelitian ini semakin menekankan pentingnya keamanan siber dan merupakan hal yang tidak bisa dinegosiasikan lagi agar bisnis dan organisasi dapat tetap produktif dan kompetitif,” pungkas Steven.
2024 Unit 42 Incident Response Report: Kecepatan eksfiltrasi dan aktivitas pendorong vulnerabilities
Selain itu, Unit 42 juga mempelajari lebih dari 600 laporan insiden dari 250 organisasi untuk Incident Response Report tahun 2024. Hasil penyelidikan ini tidak hanya mencakup postingan leak sites ransomware, tetapi juga jumlah kasus secara keseluruhan.
Meskipun phishing secara historis merupakan taktik yang populer di kalangan kelompok penjahat siber, berdasarkan laporan tersebut, ternyata taktik tersebut mengalami penurunan.
Persentase phishing dengan insiden akses awal (initial access) turun dari sepertiga pada tahun 2022 menjadi hanya 17% pada tahun 2023. Hal ini mengindikasikan adanya potensi berkurangnya penggunaan metode phishing, karena penjahat siber beradaptasi menggunakan metode penyusupan dengan teknologi yang lebih mutakhir dan efisien.
Para pelaku ancaman yang lebih berpengalaman mulai beralih dari kampanye phishing konvensional dan bersifat interaktif ke metode yang tidak terlalu mencolok dan bahkan memungkinkan otomatisasi dengan mengeksploitasi celah pada sistem dan kebocoran kredensial yang sudah ada sebelumnya.
Temuan penting lainnya dari laporan Tim Keamanan Siber Unit 42:
1. Pelaku ancaman yang lebih canggih mendapatkan initial access secara berbeda
Munculnya kecenderungan peningkatan yang signifikan terhadap eksploitasi kerentanan perangkat lunak dan API. Eksploitasi kerentanan tersebut menyumbang 38,60% dari total keseluruhan initial access pada tahun 2023, yang meningkat dari 28,20% pada 2022.
2. Pelaku ancaman mengambil data tanpa pandang bulu
Dari 93% kasus, para pelaku ancaman cenderung untuk mencuri data secara acak ketimbang mencari data yang spesifik. Angka ini meningkat dari tahun 2022, di mana terdapat 81% kasus yang melibatkan pencurian data yang diambil bukan berdasarkan pada target tertentu. Bahkan pada tahun 2021, angkanya lebih rendah lagi, yaitu sebesar 67%. Lonjakan ini menunjukkan tren yang tengah berkembang di kalangan penjahat siber, karena mereka tampaknya mulai menebarkan jaring dengan jangkauan yang lebih luas, seperti mengumpulkan data apa pun yang bisa mereka akses, alih-alih berupaya untuk menemukan dan mengeksploitasi set data tertentu.
3. Penggunaan taktik pemerasan untuk mendapatkan hasil sebesar mungkin
Menariknya, meskipun tingkat taktik pemerasan dengan harassment (intimidasi) dan taktik pemerasan lainnya yang berkaitan dengan ransomware cenderung tidak mengalami peningkatan selama beberapa tahun terakhir, tingkat taktik pemerasan dengan intimidasi pada beberapa kasus di mana telah dilakukan proses transaksi pembayaran justru melonjak hingga 27 kali lipat sejak tahun 2021.
4. Semakin tinggi permintaan, semakin rendah pembayaran
Pada 2023, rata-rata permintaan tebusan meningkat dari US$650.000 (sekitar lebih dari Rp10 miliar) menjadi US$695.000 (sekitar lebih dari Rp11 miliar) dengan kenaikan 3%, tetapi rata-rata pembayaran menurun dari $350.000 (sekitar lebih dari Rp5 miliar) menjadi $237.500 (sekitar lebih dari Rp3,5 miliar) dengan penurunan 32%. Hal ini bisa jadi disebabkan oleh banyaknya organisasi yang melibatkan tim Penanggulangan Insiden (Incident Response team) yang memiliki kemampuan untuk melakukan negosiasi (yang mana tidak banyak dilakukan di tahun-tahun sebelumnya).
