Serangan ransomware terus menimbulkan ancaman signifikan bagi organisasi di berbagai sektor, dengan operasi kriminal canggih yang terus mengembangkan taktik mereka. Otoritas federal baru-baru ini membunyikan alarm tentang varian ransomware yang sangat berbahaya yang telah dengan cepat mengumpulkan korban dalam beberapa bulan terakhir.
 |
|---|
| FBI dan Badan Keamanan Siber dan Infrastruktur AS memperingatkan tentang skema ransomware yang berbahaya |
Lembaga Federal Mengeluarkan Peringatan Bersama tentang Ransomware Medusa
FBI dan Badan Keamanan Siber dan Infrastruktur AS ( CISA ) telah merilis peringatan mendesak tentang kebangkitan Medusa, operasi ransomware-as-a-service (RaaS) yang telah aktif sejak 2021. Menurut buletin bersama tersebut, pengembang Medusa dan afiliasinya telah mengkompromikan lebih dari 300 korban sejak Februari saja, menargetkan infrastruktur kritis di berbagai sektor termasuk kesehatan, pendidikan, layanan hukum, asuransi, teknologi, dan manufaktur.
Fakta Penting Ransomware Medusa:
- Aktif sejak: Juni 2021
- Korban terbaru: Lebih dari 300 sejak Februari 2025
- Sektor yang ditargetkan: Medis, pendidikan, hukum, asuransi, teknologi, manufaktur
- Tuntutan tebusan: USD $100.000 hingga USD $15 juta
- Biaya perpanjangan hitungan mundur: USD $10.000 per hari
Evolusi dari Operasi Tertutup ke Model Afiliasi
Medusa awalnya beroperasi sebagai varian ransomware tertutup, dengan kriminal yang sama mengembangkan malware dan melaksanakan serangan. Namun, sejak itu beralih ke model afiliasi, di mana pengembang fokus pada negosiasi tebusan sambil merekrut afiliasi melalui forum dark web untuk melaksanakan serangan yang sebenarnya. Upaya perekrutan ini dapat melibatkan pembayaran mulai dari 100 dolar AS hingga 1 juta dolar AS untuk pekerjaan eksklusif, menciptakan jaringan penjahat siber terdistribusi dengan peran khusus.
Metodologi Serangan yang Canggih
Vektor infeksi utama untuk Medusa adalah kampanye phishing yang dirancang untuk mencuri kredensial korban. Setelah akses awal diperoleh, penyerang menggunakan berbagai alat yang sah untuk memajukan operasi mereka. Mereka menggunakan utilitas seperti Advanced IP Scanner dan SoftPerfect Network Scanner untuk mengidentifikasi sistem yang rentan dan port terbuka, sementara PowerShell dan Windows command prompt membantu menyusun daftar sumber daya jaringan. Untuk pergerakan lateral di seluruh jaringan yang dikompromikan, para penjahat memanfaatkan perangkat lunak akses jarak jauh termasuk AnyDesk, Atera, dan Splashtop bersama dengan Remote Desktop Protocol dan PsExec.
Taktik Pemerasan Ganda
Medusa menggunakan model pemerasan ganda yang sangat agresif. Selain mengenkripsi data korban untuk membuatnya tidak dapat diakses, penyerang juga mengancam akan merilis informasi yang dicuri secara publik kecuali tebusan dibayar. Operasi ini mempertahankan situs kebocoran data di mana korban terdaftar bersama dengan penghitung waktu mundur yang menunjukkan kapan informasi mereka akan dipublikasikan. Dalam praktik yang sangat predator, korban dapat membayar 10.000 dolar AS dalam cryptocurrency untuk memperpanjang penghitung waktu mundur hanya satu hari, menciptakan tekanan tambahan untuk memenuhi tuntutan tebusan yang dilaporkan berkisar dari 100.000 dolar AS hingga 15 juta dolar AS.
Dikaitkan dengan Kelompok Spearwing
Menurut penelitian terbaru dari Symantec, ransomware Medusa dikaitkan dengan aktor ancaman yang disebut Spearwing. Sejak awal 2023, kelompok ini telah mencantumkan hampir 400 korban secara publik di situs kebocoran datanya, meskipun peneliti keamanan percaya bahwa jumlah sebenarnya dari organisasi yang dikompromikan jauh lebih tinggi.
Langkah Perlindungan yang Direkomendasikan
Otoritas federal telah menguraikan beberapa langkah perlindungan penting yang harus diterapkan organisasi untuk melindungi diri dari Medusa dan ancaman serupa. Ini termasuk menambal kerentanan keamanan yang diketahui dalam sistem operasi dan perangkat lunak, menerapkan segmentasi jaringan untuk membatasi potensi pelanggaran, memfilter lalu lintas jaringan, menonaktifkan port yang tidak digunakan, dan membangun rencana pemulihan data komprehensif dengan cadangan offline.
Rekomendasi Perlindungan:
- Perbarui sistem operasi, perangkat lunak, dan firmware
- Terapkan segmentasi jaringan
- Filter lalu lintas jaringan
- Nonaktifkan port yang tidak digunakan
- Buat cadangan data offline
- Aktifkan autentikasi multi-faktor
- Gunakan kata sandi yang panjang daripada sering mengganti kata sandi
- Pantau aktivitas jaringan yang tidak biasa
Penekanan pada Autentikasi dan Pemantauan
Para ahli keamanan secara khusus menekankan pentingnya mengaktifkan autentikasi multi-faktor untuk semua layanan termasuk email dan VPN. Bertentangan dengan beberapa saran keamanan tradisional, peringatan tersebut merekomendasikan penggunaan kata sandi yang panjang dan kompleks daripada sering mengubah kredensial, karena praktik yang terakhir terkadang dapat menyebabkan pilihan kata sandi yang lebih lemah. Selain itu, organisasi harus menerapkan alat yang dapat memantau dan memberikan peringatan tentang aktivitas jaringan yang tidak biasa, terutama pergerakan lateral yang dapat menunjukkan serangan aktif yang sedang berlangsung.