Ara-Gen - Oke, sesuai judul topik kali ini, apakah ini akhir daripada gang REvil?, banyak perdebatan dalam mengungkapkan kejadian sebenarnya dibalik penyerangan geng ransomware baru-baru ini, karena pemerintah AS katanya sudah melumpuhkan geng ini dalam aktivitas jahatnya.
Perlu diketahui bahwa kelompok ransomware REvil termasuk salah satu kelompok penjahat siber yang menjadi momok, termasuk bagi Amerika Serikat (AS). Dikenal juga dengan nama DarkSide, kelompok inilah yang sebelumnya diduga kuat menyerang perusahaan penyalur minyak dan gas Colonial Pipeline yang menyebabkan tersendatnya pasokan di sepanjang pantai timur AS.
Kabar terbarunya, seperti dilansir Reuters pada Jumat (22 Oktober 2021), infrastruktur jaringan yang dikendalikan kelompok itu berhasil diretas oleh aparat dan dipaksa offline minggu ini dalam operasi yang melibatkan multi-negara.
Mengutip tiga pakar siber sektor swasta yang bekerja dengan Amerika Serikat dan seorang mantan pejabat, Reuters melaporkan kelompok yang diyakini asal Rusia itu kini terjebak dalam permainannya sendiri.
Situs web "Happy Blog" milik kelompok penjahat siber itu yang digunakan untuk membocorkan data korban dan memeras perusahaan, kini tidak lagi tersedia.
Para pejabat mengatakan serangan terhadap Colonial menggunakan perangkat lunak enkripsi yang disebut DarkSide, yang dikembangkan oleh rekanan REvil.
Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu untuk menghindari jatuhnya korban yang lebih banyak.
"FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini," kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya.
"REvil berada di urutan teratas dalam daftar," katanya.
Seorang figur pemimpin REvil yang dikenal dengan nama samaran "0_neday," yang telah membantu memulai kembali operasi grup setelah penutupan sebelumnya, mengatakan server REvil telah diretas oleh pihak yang tidak disebutkan namanya.
"Server telah disusupi, dan mereka mencari saya," tulis 0_neday di forum kejahatan dunia maya akhir pekan lalu dan pertama kali ditemukan oleh perusahaan keamanan Recorded Future. "Good luck, semuanya; aku pergi."
Upaya pemerintah AS untuk menghentikan REvil, salah satu dari lusinan geng ransomware berbahaya yang bekerja dengan peretas untuk menembus dan melumpuhkan perusahaan di seluruh dunia, dipercepat setelah kelompok itu meretas perusahaan manajemen perangkat lunak Amerika Serikat, Kaseya, pada bulan Juli.
Peretasan itu membuka akses ke ratusan pelanggan Kaseya sekaligus, yang mengarah ke banyak panggilan tanggap darurat insiden siber.
Setelah serangan terhadap Kaseya, FBI memperoleh kunci dekripsi universal yang memungkinkan mereka yang terinfeksi via Kaseya untuk memulihkan file mereka tanpa harus membayar uang tebusan.
Tetapi petugas penegak hukum awalnya menahan kunci itu selama berminggu-minggu karena diam-diam mengejar staf REvil, hal yang kemudian diakui oleh FBI.
Menurut tiga orang yang mengetahui masalah ini, penegak hukum dan spesialis cyber intelijen dapat meretas infrastruktur jaringan komputer REvil, mendapatkan kendali atas setidaknya beberapa server mereka.
Setelah situs web yang digunakan kelompok peretas untuk menjalankan bisnisnya offline pada bulan Juli, juru bicara utama kelompok tersebut, yang menyebut dirinya "Unknown", menghilang dari internet.
Ketika anggota geng '0_neday' dan yang lainnya memulihkan situs web tersebut dari cadangan bulan lalu, dia tanpa sadar memulai kembali beberapa sistem internal yang sudah dikendalikan oleh penegak hukum.
“Geng ransomware REvil memulihkan infrastruktur dari cadangan dengan asumsi bahwa mereka tidak dikompromikan,” kata Oleg Skulkin, wakil kepala laboratorium forensik di perusahaan keamanan yang dipimpin Rusia Group-IB.
“Ironisnya, taktik favorit geng itu sendiri untuk mengkompromikan cadangan berbalik melawan mereka.”
Cadangan yang andal adalah salah satu pertahanan terpenting terhadap serangan ransomware, tetapi cadangan tersebut harus tetap tidak terhubung dari jaringan utama atau cadangan tersebut juga dapat dienkripsi oleh pemeras seperti REvil.
Seorang juru bicara Dewan Keamanan Nasional Gedung Putih menolak mengomentari operasi tersebut secara khusus.
"Secara umum, kami melakukan seluruh upaya ransomware pemerintah, termasuk gangguan infrastruktur dan pelaku ransomware, bekerja dengan sektor swasta untuk memodernisasi pertahanan kami, dan membangun koalisi internasional untuk meminta pertanggungjawaban negara-negara yang menampung pelaku tebusan," kata orang itu. .
FBI menolak berkomentar.
Seseorang yang mengetahui kejadian tersebut mengatakan bahwa mitra asing pemerintah AS melakukan operasi peretasan yang menembus arsitektur komputer REvil. Seorang mantan pejabat AS, yang berbicara dengan syarat anonim, mengatakan operasi itu masih aktif.
Keberhasilan itu berasal dari tekad Wakil Jaksa Agung AS Lisa Monaco bahwa serangan ransomware pada infrastruktur penting harus diperlakukan sebagai masalah keamanan nasional yang mirip dengan terorisme, kata Kellermann.
Pada bulan Juni, Wakil Jaksa Agung John Carlin mengatakan kepada Reuters bahwa Departemen Kehakiman meningkatkan penyelidikan serangan ransomware ke prioritas yang sama.
Tindakan semacam itu memberi Departemen Kehakiman dan badan-badan lain dasar hukum untuk mendapatkan bantuan dari badan-badan intelijen AS dan Departemen Pertahanan, kata Kellermann.
"Sebelumnya, Anda tidak dapat meretas forum-forum ini, dan militer tidak ingin ada hubungannya dengan itu. Sejak itu, sarung tangan telah terlepas," ujarnya.
Untuk mengetahui jejak daripada geng ransomware ini, bisa kalian baca historisnya disini :
Posting Komentar