Kelompok kejahatan siber Silent Ransom Group kini kian agresif menyasar firma hukum di Amerika Serikat menggunakan taktik rekayasa sosial yang cukup cerdik. Mereka menyamar sebagai staf dukungan TI internal untuk mengelabui karyawan agar memberikan akses jarak jauh, lalu mencuri data sensitif dan meminta tebusan dalam waktu singkat.
Baca Juga: Meta: 20.000 Akun Instagram Diretas via Penyalahgunaan AI
Dilansir dari BleepingComputer, laporan terbaru dari perusahaan keamanan siber Mandiant mengungkap detail modus operandi kelompok ini. Temuan ini melengkapi peringatan FBI FLASH yang sebelumnya sudah mewanti-wanti soal ancaman Silent Ransom Group terhadap firma hukum AS.
Menurut Mandiant, serangan dimulai dengan email phishing bertema faktur yang dikirim dari akun email konsumen biasa. Email ini tidak mengandung tautan atau lampiran berbahaya, melainkan berfungsi sebagai pancingan untuk panggilan telepon lanjutan.
Baca Juga: Celah AI Meta Bikin 20 Ribu Akun Instagram Dibajak, Begini Kronologinya
Penyerang kemudian menghubungi korban dengan menyamar sebagai helpdesk TI perusahaan.
Mereka kemudian meyakinkan karyawan untuk bergabung dalam sesi dukungan jarak jauh melalui platform seperti Microsoft Teams, Zoom, Quick Assist, atau Microsoft Terminal Services. Dalam sesi ini, target ditipu untuk menginstal alat pemantauan dan manajemen jarak jauh, seperti AnyDesk, Zoho Assist, Bomgar, atau SuperOps.
Alat-alat inilah yang memberi akses awal ke jaringan perusahaan.
Tak hanya itu, Mandiant juga menemukan domain phishing yang meniru portal TI internal dengan pola penamaan seperti organization-itdesk.com. Pelaku menggunakan layanan pesan yang merusak sendiri, privnote.com, untuk berbagi tautan instalasi dan perintah selama sesi dukungan, sehingga jejak forensik di riwayat browser atau log obrolan perusahaan menjadi minimal.
“Firma layanan hukum merupakan target bernilai tinggi bagi pelaku pemerasan. Mereka menyimpan repositori terpusat dari berkas transaksi klien yang sangat sensitif, rencana merger dan akuisisi, rahasia dagang klien, dan laporan peraturan perusahaan. Kelompok ancaman menyadari bahwa entitas hukum tunduk pada paparan reputasi dan peraturan yang besar dan mungkin sangat termotivasi untuk menyelesaikan situasi pemerasan secara diam-diam untuk melindungi kedudukan profesional mereka,” kata Mandiant dalam laporannya.
Setelah berhasil masuk ke jaringan, Silent Ransom Group akan mencari dokumen hukum dan keuangan sensitif, mulai dari kontrak, catatan pajak, nomor Jaminan Sosial, hingga file merger atau akuisisi. Data tersebut kemudian dieksfiltrasi menggunakan alat seperti WinSCP atau Rclone.
Operasi pemerasan mereka berlangsung sangat cepat. Mandiant mencatat bahwa permintaan tebusan sering kali tiba dalam waktu 30 menit setelah penyerang meninggalkan lingkungan korban.
Surat pemerasan memberikan batas waktu tiga hari untuk merespons dan memulai negosiasi. Jika korban tidak kooperatif, pelaku mengancam akan menghubungi langsung karyawan dan klien eksternal untuk memberi tahu tentang kebocoran data.
“Surat pemerasan yang sangat agresif ini memberikan organisasi batas waktu tiga hari untuk merespons dan memulai negosiasi tebusan. Jika organisasi korban tidak responsif, pelaku ancaman menyatakan mereka akan menelepon dan mengirim email kepada karyawan target dan klien eksternal secara langsung untuk memberitahu mereka tentang pelanggaran data. Surat pemerasan tersebut secara eksplisit menekankan bahwa kebocoran akan mengkompromikan kepercayaan klien, mengundang denda peraturan yang besar, dan menyarankan klien eksternal untuk menuntut organisasi korban atas penanganan data yang salah,” ujar Mandiant lebih lanjut.
Kelompok yang juga dikenal sebagai UNC3753, Luna Moth, atau Chatty Spider ini sebenarnya sudah aktif sejak 2022 dan sebelumnya merupakan bagian dari sindikat kejahatan siber Ryuk dan Conti. Setelah sindikat Conti ditutup pada 2022, mereka beralih ke operasi pencurian data dan pemerasan mandiri dengan merek Silent Ransom Group, tanpa lagi mengandalkan enkripsi ransomware tradisional.
Dalam perkembangan terpisah, perusahaan keamanan Resecurity menemukan bahwa geng ini juga mengoperasikan infrastruktur fast-flux untuk menyembunyikan platform kebocoran datanya. Dengan metode DNS fast flux, mereka terus-menerus memutar alamat IP domain melalui kumpulan besar perangkat yang disusupi, mempersulit upaya pemblokiran atau penghapusan. Situs kebocoran “business-data-leaks.com” dan infrastruktur terkait menggunakan alamat IP residensial yang tersebar di berbagai negara dan ISP.
Untuk melindungi diri, Mandiant dan FBI merekomendasikan penerapan prosedur verifikasi ketat untuk interaksi dukungan TI, pembatasan alat akses jarak jauh, penegakan autentikasi multifaktor, pembatasan perangkat penyimpanan USB, dan pelatihan karyawan untuk mengenali upaya phishing suara.
Baca Juga: Intelligent Terminal: Fork Windows Terminal dengan Asisten AI Bawaan
Sementara itu, BleepingComputer juga menyelenggarakan webinar bersama Abnormal bertajuk “Stop chasing alerts: Automating email security with behavioral AI.” Webinar ini membahas bagaimana AI perilaku dapat membantu tim keamanan mendeteksi dan merespons serangan phishing modern. Menariknya, data menunjukkan bahwa tim keamanan hanya mencatat 54% serangan yang berhasil, dan hanya memperingatkan pada 14% serangan. Hal ini menegaskan perlunya pendekatan otomatis seperti behavioral AI untuk mengurangi beban operasional akibat kelelahan peringatan dan kampanye rekayasa sosial yang semakin canggih.
Leave a Comment