Dalam perkembangan terbaru dunia keamanan siber, berbagai operasi internasional telah berhasil mengganggu aktivitas kelompok ransomware terkenal seperti Phobos, 8Base, dan LockBit. Selain itu, munculnya kelompok ransomware baru bernama Sarcoma telah menambah tantangan dalam lanskap ancaman siber global.
Operasi Internasional Mengguncang Kelompok Ransomware
Operasi internasional bertajuk “Phobos Aetor” telah menghasilkan penangkapan empat individu yang diduga memimpin kelompok ransomware 8Base. Para tersangka, yang beroperasi dari Phuket, Thailand, dituduh melakukan lebih dari 1.000 serangan siber di seluruh dunia dan memperoleh sekitar $16 juta dalam bentuk Bitcoin dari para korban. Kelompok 8Base dikenal menargetkan usaha kecil dan menengah (UKM) dengan menggunakan varian ransomware Phobos untuk mengenkripsi data dan menuntut tebusan dalam jumlah besar. Beberapa korban profil tinggi termasuk Nidec Corporation dan Program Pembangunan Perserikatan Bangsa-Bangsa (UNDP). citeturn0search0
Selain itu, otoritas di Amerika Serikat, Inggris, dan Australia telah memberlakukan sanksi terhadap Zservers, penyedia layanan hosting berbasis di Rusia, yang diduga menyediakan infrastruktur untuk operasi ransomware LockBit. Dua warga negara Rusia, Alexander Mishin dan Aleksandr Bolshakov, juga dikenai sanksi karena peran mereka dalam mengelola transaksi mata uang virtual LockBit. Sanksi ini mencakup pembekuan aset dan larangan transaksi dengan individu dan entitas yang ditunjuk. Hadiah sebesar $15 juta ditawarkan bagi informasi yang mengarah pada penangkapan operator, pemilik, administrator, atau afiliasi LockBit.
Serangan Ransomware Sarcoma Terhadap Unimicron
Kelompok ransomware baru bernama Sarcoma telah mengklaim bertanggung jawab atas serangan terhadap Unimicron, produsen papan sirkuit cetak (PCB) besar yang berbasis di Taiwan. Sarcoma mengklaim telah mencuri 377 GB data, termasuk file SQL dan dokumen sensitif, dan mengancam akan membocorkan data tersebut jika tebusan tidak dibayarkan. Beberapa data yang dicuri telah dipublikasikan, dan perusahaan tersebut telah ditambahkan ke situs kebocoran data Sarcoma. citeturn0search1
Unimicron mengonfirmasi bahwa serangan terjadi pada 30 Januari 2025, mempengaruhi salah satu anak perusahaannya yang berbasis di Shenzhen, China. Perusahaan menyatakan bahwa dampak serangan tersebut terbatas dan saat ini bekerja sama dengan tim forensik untuk menganalisis insiden dan memperkuat pertahanan mereka. Namun, perusahaan belum mengonfirmasi adanya kebocoran data.
Keterkaitan Antara Ransomware dan Spionase Siber yang Didukung Negara
Dalam kampanye terbaru, aktor ancaman yang terkait dengan China, dikenal sebagai Bronze Starlight, telah menggunakan ransomware RA World terhadap perusahaan perangkat lunak dan layanan di Asia Selatan. Serangan ini menonjol karena penggunaan seperangkat alat yang biasanya dikaitkan dengan upaya spionase siber yang disponsori negara China. Para peneliti menemukan bahwa Bronze Starlight menggunakan malware PlugX melalui teknik
DLL sideloading, memuat DLL berbahaya melalui executable Toshiba yang sah sebelum meluncurkan payload PlugX yang terenkripsi. Serangan ini juga melibatkan penggunaan NPS proxy, alat komunikasi tersembunyi, dan berbagai payload terenkripsi RC4. Vektor akses awal diduga melalui eksploitasi kerentanan Palo Alto Networks PAN-OS (CVE-2024-0012). citeturn0search4
Insiden ini menambah bukti yang menunjukkan adanya tumpang tindih antara spionase siber dan kejahatan siber yang bermotif finansial. Kelompok APT yang didukung China tampaknya berbagi malware dan infrastruktur, yang semakin mempersulit atribusi dalam ekosistem ancaman yang luas.
Kesimpulan
Perkembangan terbaru ini menyoroti upaya kolaboratif komunitas internasional dalam memerangi ancaman ransomware dan spionase siber. Meskipun penegakan hukum telah berhasil mengganggu operasi beberapa kelompok ransomware utama, kemunculan aktor baru seperti Sarcoma menunjukkan bahwa lanskap ancaman siber terus berkembang. Oleh karena itu, penting bagi organisasi dan individu untuk tetap waspada, memperbarui pertahanan siber mereka, dan bekerja sama dengan otoritas terkait untuk mengurangi risiko yang ditimbulkan oleh ancaman ini. Diskusikan team SentinelOne untuk mendapatkan informasi dan upaya pencegahan dari ancaman terbaru berikutnya
