Penulis: Stiv Kupchik, Cyber Security Researcher, Guardicore*
Baru-baru ini data milik kelompok ransomware Conti bocor ke publik. Data ini mengungkap banyak hal, antara lain organisasi dan modus operandi Conti. Apa yang dapat kita pelajari dari kejadian ini?
Conti disinyalir sebagai salah satu grup hacker ransomware paling agresif melancarkan serangan dalam beberapa tahun ini. Kelompok ini telah menyerang organisasi di berbagai negara, termasuk Indonesia.
Akhir tahun 2021, kelompok ini berupaya melancarakan serangan ransomware Conti ke sistem milik Bank Indonesia. Namun BI memastikan tidak ada data-data strategis yang terdampak atau berhasil diretas.
Conti menyerang dengan cara mengenkripsi berbagai jenis data di jaringan perusahaan, rumah sakit, bisnis, lembaga pemerintah, dan lain-lain. Menurut Chainalysis, grup Conti berhasil meraup keuntungan kotor tertinggi di antara grup ransomware yang ada sepanjang tahun 2021, yaitu diperkirakan mencapai US$180 juta.
Keuntungan yang mereka raih ini berkat keberhasilan Conti memaksa pihak korban membayar tebusan yang jumlahnya signifikan agar korban dapat mengakses datanya kembali melalui kunci dekripsi (decryption key). Seperti halnya ransomware lainnya, aksi Conti umumnya dimulai dengan mencuri file/data, mengenkripsi file, atau jaringan untuk kemudian meminta pembayaran tebusan ke pihak korban (organisasi, perusahaan).
Banyak pakar keamanan siber meyakini grup Conti, langsung atau tidak, berkaitan dengan pihak Rusia. Hal itu terindikasi saat pihak Conti menyatakan dukungannya terhadap invasi Rusia ke Ukraina. Meski belakangan, Conti menarik dukungannya dan mengecam perang.
Yang menarik, Conti justru mengalami kebocoran data (data leak) yang sedikit banyak mengungkapkan mulai dari bagaimana kelompok ini melancarkan operasinya, melakukan rekrutmen, sampai cara mereka memilah target penyerangan.
Hal ini berawal dari akun Twitter @contileaks (dibuat 27 Februari 2022) yang membocorkan sekitar 400 dokumen internal, source code dan log percakapan Conti, serta alamat dari beberapa server internal dan kode sumber mereka.
Kabar yang beredar, aksi pembocoran dokumen ini dianggap sebagai respons balik atas dukungan publik Conti terhadap pemerintah Rusia selama konflik Rusia-Ukraina. Namun akun @contileaks mengeklaim dirinya hanyalah seorang peneliti sekuriti independen asal Ukraina.
Perlu diingat, terlepas dari data yang bocor ke publik, pihak/operator Conti tetap akan melanjutkan operasi bisnisnya untuk menyusup ke jaringan, mengekstraksi data organisasi, dan akhirnya menyebarkan ransomware di jaringan.
Oleh karenanya, dengan mengetahui operasional bisnis dan TTP (tactics, techniques, procedures) dari grup Conti, semua organisasi yang melakukan transformasi digital dapat mengambil manfaat dan melakukan antisipasi dan mitigasi terhadap serangan Conti maupun ransomware lain dengan lebih baik di masa mendatang.