Mengurai Kampanye Ransomware Terkini: Analisis dan Strategi Deteksi untuk Interlock dan Black Basta

Pendahuluan: Evolusi Ancaman Ransomware

Ransomware tetap menjadi salah satu ancaman siber paling destruktif, dengan kelompok seperti Interlock dan Black Basta menunjukkan evolusi taktik pemerasan ganda dan ketangkasan operasional yang meningkat. Laporan Exabeam bertajuk Unpacking Recent Ransomware Campaigns: Analysis & Detection Strategies (7 Agustus 2025) menganalisis dua varian ransomware aktif ini, yang memengaruhi organisasi di berbagai sektor. Interlock, operasi Ransomware-as-a-Service (RaaS) yang muncul pada September 2024, telah menarik perhatian dengan metode pengiriman melalui iklan berbahaya (malvertising) dan penginstal perangkat lunak palsu. Black Basta, yang muncul pada awal 2022, telah menargetkan lebih dari 500 organisasi, terutama di sektor kesehatan, keuangan, dan manufaktur, dengan tanda-tanda perpecahan internal dari kebocoran obrolan Telegram. Model RaaS memungkinkan penyerang dengan keterampilan rendah untuk meluncurkan serangan canggih, menurunkan hambatan masuk untuk kejahatan siber dan meningkatkan ancaman bagi bisnis, pemerintahan, dan infrastruktur kritis. Artikel ini akan membahas analisis kedua kelompok, TTP mereka, dan strategi deteksi serta mitigasi, dengan fokus pada pendekatan berbasis AI dari Exabeam untuk meningkatkan pertahanan.

Analisis: Interlock Ransomware

Interlock adalah operasi RaaS oportunistik yang menyerang berbagai sektor, termasuk aerospace dan pertahanan, perbankan, konstruksi, kesehatan, dan pemerintahan. Pada Juli 2025, CISA merilis advisori bersama dengan FBI dan HHS tentang Interlock, menyoroti penggunaan RAT seperti NodeSnake pada universitas dan serangan terhadap infrastruktur kritis. Kelompok ini menggunakan taktik pemerasan ganda, mencuri data sensitif sebelum mengenkripsi sistem dan mengancam kebocoran publik melalui situs kebocoran mereka. Analisis dari Arctic Wolf dan Trellix menunjukkan bahwa Interlock memanfaatkan alat akses jarak jauh yang sah seperti AnyDesk untuk akses awal dan persistensi, dengan payload yang didistribusikan melalui malvertising dan penginstal palsu. Pada Agustus 2025, laporan BleepingComputer melaporkan peningkatan serangan Interlock terhadap universitas, menggunakan NodeSnake RAT untuk eskalasi hak akses.

Taktik, Teknik, dan Prosedur (TTP) Interlock

Interlock menggunakan TTP berikut berdasarkan kerangka MITRE ATT&CK:

• Akses Awal: Malvertising dan drive-by downloads (T1189), eksploitasi aplikasi publik (T1190).
• Eksekusi dan Persistensi: Skrip PowerShell (T1059.001), tugas terjadwal (T1053).
• Eskalasi Hak Akses: Pencurian kredensial (T1003) menggunakan Mimikatz, Kerberoasting (T1558.003).
• Pergerakan Lateral: RDP (T1021.001), AnyDesk, PuTTY.
• Eksfiltrasi: AzCopy untuk unggah ke Azure blob (T1567.002), WinSCP untuk SFTP/FTP (T1048).
• Enkripsi dan Dampak: Enkripsi AES dengan pembungkus RSA (T1486), penghapusan shadow copies (T1490).

Alat yang digunakan termasuk AnyDesk, Cobalt Strike, NodeSnake RAT, dan Mimikatz. Pada Juli 2025, CISA melaporkan bahwa Interlock menargetkan VM di Windows, Linux, dan FreeBSD, menjadikannya ancaman lintas platform.

Analisis: Black Basta Ransomware

Black Basta telah menjadi pemain utama sejak 2022, dengan lebih dari 500 korban. Kelompok ini menggunakan phishing dan kredensial yang dikompromikan untuk akses awal, diikuti oleh pergerakan lateral menggunakan Cobalt Strike dan Mimikatz. Pada Juni 2025, The Hacker News melaporkan bahwa mantan anggota Black Basta menggunakan Microsoft Teams dan skrip Python untuk serangan phishing, menunjukkan pergeseran taktik setelah kebocoran obrolan Telegram yang mengungkap ketegangan internal. ReliaQuest pada Juni 2025 membahas penurunan dan warisan Black Basta, memprediksi kemungkinan offshoot atau rebranding. Acronis dan Netragard pada 2025 menyoroti kolaborasi Black Basta dengan QBot untuk pengiriman payload.

Taktik, Teknik, dan Prosedur (TTP) Black Basta

Black Basta menggunakan TTP berikut:

• Akses Awal: Phishing email (T1566.001) dan suara (T1566.004), eksploitasi aplikasi (T1190) seperti CVE-2023-0669.
• Eksekusi dan Persistensi: QakBot loader (T1059), tugas terjadwal (T1053).
• Eskalasi Hak Akses: Pencurian kredensial dari LSASS (T1003) menggunakan Mimikatz.
• Pergerakan Lateral: Cobalt Strike, Brute Ratel (T1078), PsExec, WMI, RDP (T1021).
• Eksfiltrasi: Kanal C2 (T1041), Rclone untuk web services (T1567).
• Enkripsi dan Dampak: Enkripsi hibrid ChaCha20 dan RSA-4096 (T1486), penghentian layanan (T1489), penghapusan shadow copies (T1490), operasi mode aman (T1497).

Alat yang digunakan termasuk Cobalt Strike, Mimikatz, QakBot, dan Rclone. Pada Agustus 2025, laporan Cyfirma dan Dragos menunjukkan bahwa Black Basta terus aktif di sektor profesional, kesehatan, dan TI, meskipun ada tanda perpecahan.

Strategi Deteksi dan Mitigasi

Untuk melawan Interlock dan Black Basta, organisasi harus menerapkan pendekatan berlapis:

1. Pencegahan Akses Awal:
   • Blokir situs berbahaya dengan pemfilteran DNS dan firewall web.
   • Edukasi karyawan tentang phishing dan malvertising.
   • Terapkan manajemen patch dan MFA berbasis perangkat keras.
2. Deteksi dan Respons:
   • Gunakan EDR seperti CrowdStrike Falcon atau Microsoft Defender untuk mendeteksi aktivitas mencurigakan.
   • Terapkan UEBA dengan Exabeam New-Scale Analytics untuk mendeteksi anomali perilaku.
   • Pantau lalu lintas jaringan dengan NDR seperti Vectra AI untuk mengidentifikasi C2 atau eksfiltrasi.
3. Pencegahan Pergerakan Lateral:
   • Segmentasi jaringan dengan prinsip Zero Trust.
   • Batasi hak akses admin dan pisahkan tugas akun layanan.
4. Pemulihan dan Ketahanan:
   • Jaga cadangan offline yang tidak dapat diubah dan uji secara teratur.
   • Kembangkan rencana respons insiden yang berfokus pada penahanan dan pemulihan.
5. Intelijen Ancaman:
   • Berlangganan umpan dari CISA atau ISAC untuk IOC dan TTP terbaru.

Peran Exabeam dalam Deteksi Ransomware

Exabeam New-Scale Analytics meningkatkan SIEM dengan analitik perilaku dan AI agenik:

• Deteksi Berbasis Perilaku: Membangun baseline perilaku untuk mendeteksi anomali seperti akses kredensial yang tidak biasa.
• Garis Waktu Ancaman Otomatis: Threat Center menghubungkan peristiwa untuk gambaran lengkap perilaku penyerang.
• Integrasi dengan Alat yang Ada: Kompatibel dengan lebih dari 500 produk keamanan.
• Wawasan Eksekutif: Outcomes Navigator memberikan ringkasan postur keamanan dan rekomendasi prioritas.

Organisasi menggunakan Exabeam melaporkan waktu investigasi hingga lima kali lebih cepat dan produktivitas analis hingga 80%.

Dampak Dunia Nyata

• Interlock: Menurut CISA pada Juli 2025, Interlock telah menargetkan universitas dan infrastruktur kritis, dengan kebocoran data sebesar 43 GB setelah penolakan tebusan.
• Black Basta: Dengan lebih dari 500 korban sejak 2022, Black Basta tetap aktif, seperti yang dilaporkan The Hacker News pada Juni 2025 tentang penggunaan Teams untuk phishing.

Kesimpulan

Interlock dan Black Basta mewakili ancaman ransomware modern dengan pemerasan ganda dan model RaaS. Interlock menggunakan malvertising dan AnyDesk, sementara Black Basta memanfaatkan phishing dan Cobalt Strike. Organisasi harus mengadopsi pendekatan berlapis dengan pelatihan, deteksi berbasis perilaku, dan cadangan kuat. Exabeam New-Scale Analytics menawarkan alat canggih untuk mendeteksi dan menanggapi ancaman ini secara real-time.

Jangan biarkan ransomware mengganggu bisnis Anda. Jelajahi Exabeam New-Scale Analytics untuk meningkatkan deteksi dan respons dengan AI. Kunjungi situs resmi logrhythm.ilogoindonesia.com untuk meminta demo atau unduh laporan From Hype to Help: How AI Is (Really) Transforming Cybersecurity in 2025 untuk wawasan lebih lanjut. Lindungi infrastruktur Anda sekarang!