Dalam seminggu terakhir, nama DarkSide menyita perhatian Pemerintah AS, utamanya yang berkutat di bidang cybersecurity. Maklum, DarkSide telah menyerang salah satu perusahaan migas penting di AS. Akibatnya, operasional perusahaan tersebut terhenti dan mengakibatkan kelangkaan bensin di pantai timur AS.
Apa sebenarnya DarkSide? Bagaimana cara kerjanya? Berikut adalah informasi penting yang diketahui soal DarkSide.
Apa itu DarkSide?
DarkSide pada dasarnya adalah layanan (!) bagi hacker dalam menjalankan serangan ransomware. Istilah kerennya, DarkSide adalah layanan Ransomware-as-a-Service (RaaS).
Sebagai sebuah layanan, DarkSide menyediakan semua hal yang dibutuhkan hacker. Contohnya tools untuk membuat ransomware, tempat penampungan data hasil serangan, sampai menjadi tempat negosiasi antara hacker dan korban terkait uang tebusan. Jadi hacker bisa fokus melakukan serangan, sisanya akan diurus oleh DarkSide.
DarkSide menyediakan panel seperti ini ke mitra kerjanya (alias hacker). Di panel ini, hacker bisa membangun tools ransomware dan menentukan uang tebusan
Tentu, ada biaya dari layanan ini. Kabarnya DarkSide mengenakan biaya 25% dari total uang tebusan. Persentase turun menjadi 10% jika uang tebusan menembus angka US$5 juta.
Yang menarik, DarkSide tetap memiliki kode etik soal korban ransomware. DarkSide melarang mitra kerjanya (alias hacker) untuk menyerang sekolah, universitas, rumah sakit, layanan publik, serta organisasi nirlaba. DarkSide juga melarang serangan ke perusahaan di negara Commonwealth of Independence States, yaitu Rusia dan negara pecahannya.
Mengapa menyerang dengan ransomware?
Serangan ransomware menawarkan keuntungan sangat menggiurkan bagi hacker. DarkSide baru muncul Agustus 2020 lalu, namun sudah mengantongi jutaan dollar dari uang tebusan.
Salah satu contohnya adalah kasus di Januari 2021 yang diamati Intel 471, intelijen cyber security Intel. Kala itu, DarkSide berhasil mengenkripsi (mengacak) data di 500 server (termasuk backup-nya) dari sebuah perusahaan besar di AS. Awalnya DarkSide meminta tebusan US$30 juta, namun setelah negosiasi, nilainya turun menjadi US$14 juta.
Itu baru dari satu kasus. Padahal DarkSide telah melakukan serangan ke berbagai perusahaan di 15 negara.
Sadisnya lagi, DarkSide melakukan taktik double extortion alias pemerasan dua lapis. Lapis pertama adalah perusahaan harus membayar uang tebusan jika ingin mendapat kunci untuk membuka enkripsi. Pemerasan kedua adalah perusahaan harus membayar (lagi) jika tidak ingin datanya disebar ke publik. Jadi selain mengacak data, DarkSide juga menyalin data korban ke server-nya; dan ada uang tebusan yang harus dibayar jika tidak ingin data itu disebar.
Siapa sebenarnya Darkside?
Dari mana DarkSide berasal?
Banyak hal yang mengindikasikan DarkSide berasal dari Rusia. Pertama karena DarkSide pertama muncul di sebuah situs komunitas Rusia.
Penelitian FireEye juga menunjukkan, setidaknya lima hacker yang pernah menggunakan layanan DarkSide menggunakan bahasa Rusia. Hal ini juga yang bisa menjelaskan mengapa DarkSide melarang serangan ke Rusia dan negara pecahannya.
Dalam sebuah siaran pers, Presiden AS Joe Biden juga menyebut DarkSide adalah kelompok hacker dari Rusia.
DarkSide muncul pertama kali di forum Rusia, dan sering menggunakan bahasa Rusia untuk melakukan pengumuman
Mengapa Pemerintah AS sampai turun tangan?
Pada 8 Mei 2021 kemarin, mitra kerja DarkSide menyerang Colonial Pipeline, sebuah perusahaan distribusi migas AS. Akibat serangan DarkSide, perusahaan yang berpusat di Georgia ini harus menghentikan operasinya.
Masalahnya, Colonial Pipeline ini adalah perusahaan krusial di industri migas AS. Perusahaan ini bertanggung jawab atas 45% dari kebutuhan migas di area timur AS. Colonial Pipeline ini juga bertanggung jawab atas distribusi migas militer AS. Ketika Colonial Pipeline tidak bisa beroperasi, kepanikan pun melanda. Konsumen langsung memborong bensin, yang membuat harga bensin langsung naik.
Mengapa DarkSide menyerang Colonial Pipeline?
DarkSide sebenarnya “kecolongan” juga. Mereka sepertinya kaget ransomware mereka membuat kemarahan Pemerintah AS. Sesaat setelah insiden Colonial Pipeline, DarkSide langsung memberikan siaran pers.
Pada intinya, DarkSide menyebut mereka tidak pernah memiliki motif politik atas serangan, termasuk ke Colonial Pipeline ini. “Motif kami cuma uang, dan tidak ingin menciptakan masalah bagi masyarakat” tulis DarkSide. Akibat insiden ini, DarkSide mengaku akan menyeleksi lebih ketat mitra kerjanya, termasuk perusahaan yang ingin diserang.
Siaran pers DarkSide sesaat setelah insiden Colonial Pipeline
Kabar terakhir bahkan menyebut, DarkSide memutuskan untuk bubar. “Melihat situasi saat ini dan tekanan dari Pemerintah AS, DarkSide kami hentikan,” tulis DarkSide. Pengumuman tersebut juga menyebut sebagian infrastruktur seperti server dan CDN (Content Delivery Network) untuk melakukan serangan telah disita pihak berwajib.
Akan tetapi, bisa jadi pengumuman ini sekadar taktik untuk mengalihkan perhatian. Bisa jadi DarkSide pada dasarnya hanya berganti nama, dan siap mencari korban berikutnya.
Jadi, tetap berhati-hati.