Perusahaan cybersecurity, Group-IB, baru-baru ini mempublikasikan hasil riset terhadap aktivitas dan teknik yang digunakan oleh kelompok ransomware Brain Cipher. (Ilustrasi Ransomware)
Perusahaan cybersecurity, Group-IB, baru-baru ini mempublikasikan hasil riset terhadap aktivitas dan teknik yang digunakan oleh kelompok ransomware Brain Cipher.
Nama Brain Chiper tentu masih melekat dalam ingatan kita. Ya, kelompok inilah yang mengeklaim sebagai pihak yang bertanggung jawab atas serangan ransomware di Pusat Data Nasional Semetara (PDNS) pada tanggal 20 Juni lalu.
Akibat serangan tersebut, berbagai layanan publik yang bergantung pada PDNS pun terganggu, termasuk layanan imigrasi di Bandara Internasional Soekarno-Hatta. Kementerian Komunikasi dan Informatika RI menyatakan bahwa serangan siber ini berdampak pada sekitar 210 instansi pemerintah pusat maupun daerah di Indonesia.
Peretas yang mengaku dirinya sebagai Brain Cipher awalnya minta tebusan (ransom) senilai US$8 juta (atau sekitar Rp131 miliar). Namun akhirnya si peretas dikabarkan memberikan kunci dekripsi ransomware tanpa bayaran sepeser pun.
Riset yang dilakukan oleh tim High-Tech Crime Investigation Group-IB mengungkap beberapa fakta penting tentang kelompok ransomware Brian Cipher. Salah satu fakta itu adalah otak dari kelompok ransomware Brain Cipher telah aktif setidaknya sejak bulan April 2024.
Penelitian ini juga menemukan indikasi adanya hubungan antara kelompok Brain Cipher dengan kelompok ransomware EstateRansomware dan SenSayQ berdasarkan kesamaan pada surat tebusan, atau ransom note.
Inilah temuan-temuan penting tim High-Tech Crime Investigation Group-IB terkait kelompok ransomware Brain Cipher.
Jejak pertama kelompok ransomware Brain Cipher ditemukan pada tanggal 16 Juni 2024.
Ransom note dari Brain Cipher memperlihatkan adanya hubungan dengan sampel malware Lockbit.
Sementara dari sisi konten dan gaya penulisan, ada kemiripan antara ransom note yang dikirim Brain Cipher dengan surat tebusan ransomware SenSayQ.
Group-IB mengungkapkan bahwa website The Onion Router (TOR) Brain Cipher dan SenSayQ menggunakan teknologi dan skrip yang mirip.
Alamat email yang digunakan kelompok ransomware SenSayQ, EstateRansomware, dan kelompok lain yang tidak disebutkan namanya memiliki kesamaan atau tumpang tindih. Jejak pertama EstateRansomware dijumpai pada bulan April 2024. Kesamaan pada alamat email ini mengindikasikan bahwa ketiga kelompok tersebut mungkin menggunakan alamat email yang sama atau mirip dalam aktivitas mereka.
Berdasarkan temuan-temuan itu, Group-IB menduga bahwa ada individu atau orang yang sama di balik Brain Cipher dan EstateRansomware.
Serangan yang terjadi pada bulan Juli 2024 dengan surat tebusan yang mirip dilakukan oleh pihak yang menyebut dirinya kelompok RebornRansomware.
Selain memaparkan hasil riset, Group-IB juga memberikan sejumlah rekomendasi untuk mencegah terjadinya serangan ransomware.
Pantau dan audit akun secara teratur. Hapus atau nonaktifkan akun yang tidak aktif untuk mencegah akses tidak sah. Terapkan autentikasi multi-faktor (MFA) untuk VPN dan layanan akses jarak jauh lainnya.
Terapkan kebijakan manajemen patch untuk memastikan firmware dan perangkat lunak yang digunakan diperbarui dengan patch keamanan terbaru guna melindungi dari kerentanan yang sudah diketahui (known vulnerabilities).
Segmentasikan sistem kritis dan terapkan aturan firewall yang ketat untuk membatasi pergerakan lateral di dalam jaringan. Nonaktifkan akses RDP yang tidak perlu dan batasi hanya untuk alamat IP tertentu yang tepercaya.
Terapkan kontrol aplikasi pada host untuk mencegah eksekusi program yang tidak sah. Pastikan hanya aplikasi keamanan yang disetujui yang digunakan dan berjalan di sistem perusahaan.
Terapkan solusi Endpoint Detection and Response (EDR) untuk mendeteksi dan merespons aktivitas mencurigakan, seperti penyebaran backdoor dan penggunaan tool, seperti PsExec.
Gunakan layanan MTH (Managed Threat Hunting) untuk secara proaktif mendeteksi ancaman yang tidak dikenal dan serangan yang canggih.
Berlangganan layanan incident response retainer untuk memperoleh akses ke tim profesional keamanan siber yang dapat merespons secara efektif terhadap insiden apa pun yang mungkin terjadi di infrastruktur.
KOMENTAR