Digitalmania – Mereka yang tidak memiliki kode moral, tidak akan pernah memegang kata-katanya, bagaimana bisa mempercayai mereka yang mencuri dari dirimu, mengancam dan meminta sejumlah uang dalam jumlah besar.

Ya, kita bicara ransomware, pelaku di balik malware pemeras ini, menysup masuk ke dalam perangkat, mengenkripsi atau mengunci data-data lalu meminta uang tebusan jika ingin data tersebut dikembalikan. Janji gombal yang tidak lebih dari sekedar lip service. ESET sejak awal selalu menyarankan untuk tidak membayar uang tebusan, karena tidak ada jaminan mereka akan menepati janji.

Tentu tidaklah mengejutkan jika kemudian geng ransomware semakin tidak memenuhi janji mereka untuk menghapus data yang dicuri setelah korban membayar uang tebusan.

Pada tahun 2019, grup ransomware Maze memperkenalkan taktik baru yang dikenal sebagai pemerasan ganda, yaitu ketika pelaku mencuri file yang tidak dienkripsi dan kemudian mengancam akan merilisnya secara publik jika uang tebusan tidak dibayarkan.

Sekarang, korban tidak hanya diperas melalui enkripsi file mereka, tetapi juga oleh risiko data mereka dipublikasikan dan menyebabkan pelanggaran data.

Taktik ini dengan cepat diadopsi oleh operasi ransomware lainnya, yang mulai membuat situs kebocoran data yang digunakan untuk menerbitkan file korban yang dicuri.

Sebagai bagian dari taktik pemerasan ganda ini, sebagian besar operasi ransomware mengharuskan korban untuk membayar satu tebusan yang akan memberikan dekripsi untuk file terenkripsi mereka dan juga janji untuk tidak membagikan dan menghapus file yang dicuri.

Beberapa operasi ransomware, seperti AKO/Ranzy, menuntut dua pembayaran tebusan, satu untuk decryptor dan lainnya untuk tidak mempublikasikan data yang dicuri.

Geng ransomware ingkar janji

Dalam banyak kasus kita mengetahui bersama banyak pengembang ransomware yang tidak menepati janji, mereka enggan untuk menghapus data yang dicuri setelah uang tebusan dibayarkan. Bagi mereka apa untungnya menghapus data yang bisa menjadi uang tambahan bagi mereka.

Dan lebih buruk lagi, kelompok tertentu membocorkan data yang dicuri setelah uang tebusan dibayarkan, menggunakan data palsu sebagai bukti penghapusan, atau bahkan memeras kembali korban menggunakan data yang sama yang telah dibayarkan untuk tidak dirilis.

Sodinokibi : Para korban yang telah dibayar diperas kembali beberapa minggu kemudian dengan ancaman akan memposting kumpulan data yang sama.

Netwalker : Data yang diposting dari perusahaan yang telah membayarnya agar tidak bocor

Mespinoza : Data yang diposting dari perusahaan yang telah membayar agar tidak bocor

Conti : File palsu ditampilkan sebagai bukti penghapusan

Maze, Sekhmet, dan Egregor, yang tampaknya semuanya terkait, juga disebutkan mengalami masalah dalam menjaga kerahasiaan data setelah dibayar. Seperti Maze misalnya, ketika tumbuh lebih besar, operasi mereka menjadi tidak teratur, dan data korban secara keliru diposting di situs kebocoran data.

Sementara ransomware Conti menggunakan situs berbagi file untuk berbagi bukti data yang dicuri dengan para korban. Saat mengunggah data ke situs ini, tautan penghapusan juga dibuat yang memungkinkan siapa saja yang memiliki tautan untuk menghapus data yang diunggah.

Conti memberikan tautan penghapusan palsu kepada korban setelah uang tebusan dibayarkan yang berisi data dummy dan bukan data sebenarnya korban. Tautan ini dimaksudkan untuk mengelabui korban agar mengira datanya telah dihapus, padahal kenyataannya, Conti tetap menyimpan datanya.

Tidak seperti decryptor ransomware, yang tidak dapat diambil oleh pelaku ancaman setelah diberikan, tidak ada cara bagi korban untuk mengetahui dengan pasti apakah operasi ransomware menghapus data yang dicuri setelah pembayaran tebusan dilakukan.

Karena itu, tidak masuk akal untuk membayar uang tebusan karena tidak ada cara untuk mengetahui dengan pasti uang itu tidak akan digunakan untuk memeras kembali lebih lanjut di masa depan dengan produk-produk ransomware buatan mereka dari hasil memeras tersebut.

Dengan pemikiran ini, para korban sebaiknya memikirkan baik-baik jika bersikeras memutuskan untuk membayar dengan harapan data mereka tidak dirilis:

• Data tidak akan dihapus secara kredibel. Korban harus berasumsi bahwa itu akan diperdagangkan ke pelaku ancaman lain, dijual, atau ditahan untuk upaya pemerasan kedua/masa depan

• Penyimpanan data yang dicuri dipegang oleh banyak pihak dan tidak diamankan. Meskipun pelaku menghapus sejumlah data setelah pembayaran, pihak lain yang memiliki akses ke data tersebut mungkin telah membuat salinan sehingga mereka dapat memeras korban di masa mendatang.

• Bagaimanapun juga, data tersebut dapat diposting secara tidak sengaja atau sengaja sebelum korban dapat menanggapi upaya pemerasan

Perusahaan harus secara otomatis berasumsi bahwa data mereka telah dibagikan di antara para penjahat digital dan bahwa data tersebut akan digunakan atau dibocorkan di masa mendatang, terlepas dari apakah mereka membayar.

Sebaliknya, perusahaan harus memperlakukan serangan itu sebagai pelanggaran data dan memberi tahu semua pelanggan, karyawan, dan mitra bisnis dengan benar bahwa data mereka telah dicuri seperti yang diwajibkan oleh hukum. Digitalmania