Serangan ransomware telah memasuki fase baru yang mengerikan

Pada bulan Februari, penyerang dari grup ransomware BlackCat yang berbasis di Rusia menyerang praktik dokter di Lackawanna County, Pennsylvania, yang merupakan bagian dari Lehigh Valley Well being Community (LVHN). Saat itu, LVHN mengatakan bahwa serangan itu “melibatkan” sistem foto pasien terkait pengobatan onkologi radiasi. Grup perawatan kesehatan mengatakan bahwa BlackCat telah mengeluarkan permintaan uang tebusan, “tetapi LVHN menolak untuk membayar perusahaan kriminal ini.”

Setelah beberapa minggu, BlackCat mengancam akan mempublikasikan knowledge yang dicuri dari sistem. “Weblog kami diikuti oleh banyak media dunia, kasus ini akan dipublikasikan secara luas dan akan menyebabkan kerusakan signifikan pada bisnis Anda,” tulis BlackCat di situs pemerasan internet gelap mereka. “Waktumu hampir habis. Kami siap melepaskan kekuatan penuh kami padamu!” Penyerang kemudian merilis tiga tangkapan layar pasien kanker yang menerima pengobatan radiasi dan tujuh dokumen yang menyertakan informasi pasien.

Foto-foto medis itu grafis dan intim, menggambarkan payudara telanjang pasien dalam berbagai sudut dan posisi. Dan sementara rumah sakit dan fasilitas perawatan kesehatan telah lama menjadi goal favorit geng ransomware, para peneliti mengatakan situasi di LVHN mungkin menunjukkan pergeseran keputusasaan dan keinginan penyerang untuk bertindak ekstrem karena goal ransomware semakin menolak untuk membayar.

“Karena lebih sedikit korban yang membayar uang tebusan, aktor ransomware menjadi lebih agresif dalam teknik pemerasan mereka,” kata Allan Liska, analis firma keamanan Recorded Future yang berspesialisasi dalam ransomware. “Saya pikir kita akan melihat lebih banyak tentang itu. Ini mengikuti pola dalam kasus penculikan, di mana ketika keluarga korban menolak untuk membayar, penculik mungkin mengirimkan telinga atau bagian tubuh lain dari korban.”

Para peneliti mengatakan bahwa contoh lain dari eskalasi brutal ini terjadi pada hari Selasa ketika geng ransomware Medusa yang muncul menerbitkan knowledge sampel yang dicuri dari Sekolah Umum Minneapolis dalam serangan Februari yang datang dengan permintaan uang tebusan $1 juta. Tangkapan layar yang bocor termasuk pindaian catatan tulisan tangan yang menggambarkan tuduhan pelecehan seksual dan nama seorang siswa laki-laki dan dua siswa perempuan yang terlibat dalam insiden tersebut.

“Harap dicatat, MPS belum membayar uang tebusan,” kata distrik sekolah Minnesota dalam sebuah pernyataan di awal Maret. Distrik sekolah mendaftarkan lebih dari 36.000 siswa, tetapi knowledge tersebut tampaknya berisi catatan yang berkaitan dengan siswa, staf, dan orang tua sejak tahun 1995. Minggu lalu, Medusa memposting video berdurasi 50 menit di mana penyerang tampaknya menelusuri dan meninjau semua knowledge yang mereka curi dari sekolah, teknik yang tidak biasa untuk mengiklankan dengan tepat informasi apa yang mereka miliki saat ini. Medusa menawarkan tiga tombol di situs internet gelapnya, satu untuk siapa saja yang membayar $1 juta untuk membeli knowledge MPS yang dicuri, satu untuk distrik sekolah itu sendiri untuk membayar tebusan dan menghapus knowledge yang dicuri, dan satu untuk membayar $50.000 untuk memperpanjang batas waktu tebusan satu hari.

“Apa yang penting di sini, menurut saya, adalah bahwa di masa lalu geng selalu harus mencapai keseimbangan antara menekan korban mereka untuk membayar dan tidak melakukan hal-hal keji, mengerikan, jahat sehingga korban tidak mau berurusan dengan mereka,” kata Brett Callow, analis ancaman di perusahaan antivirus Emsisoft. “Tapi karena goal tidak sering membayar, geng-geng itu sekarang bekerja lebih keras. Adalah PR yang buruk untuk mendapatkan serangan ransomware, tetapi tidak seburuk dulu—dan PR yang sangat buruk terlihat membayar organisasi yang melakukan hal-hal yang mengerikan dan keji.”

Tekanan publik tentu meningkat. Menanggapi bocoran foto pasien minggu ini, misalnya, LVHN mengatakan dalam sebuah pernyataan, “Tindakan kriminal yang tidak bermoral ini memanfaatkan pasien yang menerima pengobatan kanker, dan LVHN mengutuk perilaku tercela ini.”

Pusat Pengaduan Kejahatan Web FBI (IC3) mengatakan dalam Laporan Kejahatan Web tahunannya minggu ini bahwa mereka menerima 2.385 laporan tentang serangan ransomware pada tahun 2022, dengan whole kerugian $34,3 juta. Jumlahnya turun dari 3.729 keluhan ransomware dan whole kerugian $49 juta pada tahun 2021. “Sulit bagi FBI untuk memastikan jumlah sebenarnya dari korban ransomware karena banyak infeksi yang tidak dilaporkan ke penegak hukum,” catat laporan tersebut.

Tetapi laporan tersebut secara khusus menyebut perilaku pemerasan yang berkembang dan lebih agresif. “Pada tahun 2022, IC3 telah melihat peningkatan taktik pemerasan tambahan yang digunakan untuk memfasilitasi ransomware,” tulis FBI. “Aktor ancaman menekan korban untuk membayar dengan mengancam akan mempublikasikan knowledge yang dicuri jika mereka tidak membayar uang tebusan.”

Dalam beberapa hal, perubahan tersebut merupakan tanda positif bahwa upaya untuk memerangi ransomware berhasil. Jika organisasi memiliki sumber daya dan alat yang cukup untuk menolak membayar uang tebusan, penyerang pada akhirnya mungkin tidak dapat menghasilkan pendapatan yang mereka inginkan dan, idealnya, akan meninggalkan ransomware sepenuhnya. Tapi itu membuat peralihan ke taktik yang lebih agresif ini menjadi momen yang genting.

“Kami benar-benar belum pernah melihat hal seperti ini sebelumnya. Berbagai kelompok telah melakukan hal-hal yang tidak menyenangkan, tetapi yang menjadi sasaran adalah orang dewasa, bukan pasien kanker yang sakit atau anak sekolah,” kata Callow dari Emsisoft. “Saya berharap taktik ini akan menggigit mereka dan perusahaan akan mengatakan tidak, kita tidak boleh terlihat mendanai organisasi yang melakukan hal-hal keji ini. Itu harapan saya pula. Apakah mereka akan bereaksi seperti itu masih harus dilihat.”

Kisah ini awalnya muncul di wired.com.