"Kami belum menangkap semua orang yang terkait dengan LockBit--ini adalah proses jangka panjang," kata Graeme Biggar, direktur jenderal Badan Kejahatan Nasional Inggris, dalam sebuah konferensi pers di London. "Apa yang mereka semua tahu sekarang adalah bahwa kami sedang mengincar mereka, dan mereka akan terus mengawasi."
Tindakan yang diumumkan pada Selasa termasuk penangkapan dua orang yang diduga anggota LockBit di Polandia dan Ukraina; dakwaan di AS terhadap dua orang yang diduga anggota lainnya, meskipun mereka berada di Rusia dan tidak mungkin menghadapi ekstradisi; penyitaan 28 server dan sekitar 200 akun mata uang kripto yang terkait dengan geng tersebut; dan, yang paling penting bagi ribuan korban LockBit, pemulihan kunci dekripsi yang sekarang dapat digunakan untuk membuka kunci data yang dibajak.
Banyak pakar keamanan siber memuji upaya multinasional ini sebagai upaya yang ekspansif dan agresif, dan upaya yang kemungkinan besar akan memberikan kemunduran yang signifikan terhadap kelompok yang telah menjadi identik dengan serangan siber yang paling mengganggu dan merugikan dalam beberapa tahun terakhir. Namun, beberapa juga memperingatkan bahwa sejarah penghapusan serupa baru-baru ini menunjukkan bahwa tidak lama lagi para peretas akan bangkit kembali.
"Gangguan dan penghapusan situs web Lockbit kemungkinan merupakan salah satu operasi dunia maya paling signifikan yang pernah dilakukan oleh penegak hukum," kata Ed Dubrovsky, chief operating officer untuk Cypfer, sebuah perusahaan respons dan negosiasi ransomware di Toronto, mengutip penangkapan, jumlah data yang disita oleh penegak hukum, dan penggunaan alat dekripsi yang direncanakan.
Namun, dia memperingatkan bahwa dampak akhir pada organisasi dan kepemimpinannya masih belum pasti: "Kemampuan untuk mengganggu dominasi LockBit di lanskap ancaman harus mencakup gangguan keuangan dan personel serta kemampuan untuk membantu para korban saat ini yang berada dalam kondisi tidak menentu."
Kelompok ransomware lainnya--seperti Hive dan Conti--telah menghadapi tindakan penegakan hukum serupa dalam beberapa tahun terakhir. Namun, para anggota kelompok ini dikatakan oleh para peneliti keamanan siber hanya mengganti nama dan melakukan reformasi dengan nama lain, lalu melanjutkan serangan mereka. Setelah tindakan keras terbaru terhadap LockBit, juru bicara kelompok tersebut telah menyatakan bahwa geng tersebut akan membangun kembali servernya dan membual bahwa tidak semua situs web geng tersebut telah dihapus oleh pihak berwenang, menurut pesan yang ditinjau oleh Bloomberg News.
Alasan para peretas kembali melakukan kejahatan siber sederhana saja: ransomware menguntungkan dan kemungkinan untuk ditangkap relatif kecil. Banyak dari mereka yang terlibat dalam geng peretasan tinggal di Rusia atau yurisdiksi lain di luar jangkauan penegakan hukum Barat.
"Upaya-upaya sebelumnya untuk mengganggu para pelaku oleh penegak hukum tampaknya tidak banyak membantu untuk membendung kegigihan dan pertumbuhan pemerasan siber," kata Charl van der Walt, kepala penelitian keamanan siber untuk Orange Cyberdefense, divisi keamanan siber perusahaan telekomunikasi Prancis Orange SA, yang memberikan data yang menunjukkan bahwa segera setelah penangkapan, penghapusan, dan tindakan lain terhadap kelompok-kelompok semacam itu dalam beberapa tahun terakhir, jumlah serangan dan korban yang terungkap secara publik justru meningkat.
"Setelah setiap intervensi penegakan hukum yang dilaporkan ini, masih ada peningkatan yang signifikan dalam jumlah korban yang terungkap di situs-situs pembocor dalam waktu tiga bulan setelah intervensi."
Salah satu ciri khas operasi LockBit adalah model bisnis waralaba yang sangat sukses, di mana ia melisensikan alat peretasannya kepada pihak ketiga--yang dikenal sebagai afiliasi--yang melakukan serangan dan berbagi sebagian keuntungan dari pemerasan tersebut. Jaringan afiliasi tersebut sangat luas, sehingga gangguan penuh terhadap kelompok ini tidak mungkin terjadi, kata Gene Yoo, kepala eksekutif perusahaan keamanan siber yang berbasis di Los Angeles, California, Resecurity Inc.
"Ini adalah komunitas besar dari para pelaku yang memonetisasi akses melalui ransomware," katanya. "Hanya masalah waktu saja bagi mereka untuk berkumpul kembali."
Sejak dibentuk pada tahun 2020, LockBit telah berkembang menjadi geng ransomware paling produktif di dunia. Kelompok ini menjadi terkenal setelah melancarkan serangan yang mengganggu terhadap perusahaan-perusahaan besar, termasuk Industrial & Commercial Bank of China Ltd, Royal Mail Inggris, perusahaan perangkat lunak keuangan ION Trading UK dan Boeing Co. Mereka telah melakukan lebih dari 1.700 serangan secara keseluruhan dan memeras $91 juta dari para korbannya, demikian menurut Badan Keamanan Siber dan Infrastruktur AS.
Geng ini diketahui mencuri data internal dan mengenkripsi komputer korbannya, sehingga tidak dapat digunakan. Kemudian menuntut pembayaran sebagai imbalan untuk membuka kunci komputer dan tidak mempublikasikan data yang dicuri. Para pemimpin LockBit yang berbahasa Rusia memanfaatkan jaringan peretas afiliasi yang melakukan serangan menggunakan perangkat lunak dan infrastruktur berbahaya LockBit. Mereka kemudian membagi hasil uang yang diperoleh melalui pemerasan.
"Di pasar yang sangat kompetitif dan ketat, LockBit bangkit menjadi operator ransomware yang paling produktif dan dominan," kata Don Smith, wakil presiden penelitian ancaman untuk perusahaan keamanan siber yang berbasis di Atlanta, Georgia, SecureWorks Corp, yang memberikan data yang menunjukkan bahwa LockBit memiliki sekitar 25% dari pasar ransomware global pada saat pencopotan tersebut, berdasarkan jumlah korban yang teridentifikasi di situs pembocor datanya. "Mereka mendekati ransomware sebagai peluang bisnis global dan menyelaraskan operasinya. Dengan demikian, meningkatkan skala melalui afiliasi dengan kecepatan yang mengerdilkan operasi lainnya."
Departemen Kehakiman AS sebelumnya telah mendakwa tiga orang peretas yang diduga terlibat dengan LockBit. Mikhail Vasiliev--seorang warga negara ganda Rusia dan Kanada--ditangkap di Kanada pada Oktober 2022. Hal itu diikuti pada Mei 2023 dengan dakwaan terhadap Mikhail Matveev, seorang tersangka anggota LockBit yang berbasis di Rusia. Tersangka ketiga, Ruslan Astamirov, seorang warga negara Rusia, ditangkap di Arizona pada Juni 2023, dituduh bekerja sama dengan LockBit untuk menargetkan perusahaan-perusahaan di AS, Asia, Eropa, dan Afrika.
Terlepas dari penangkapan tersebut, LockBit melanjutkan serangannya yang produktif, menambahkan korban baru ke halaman dark web-nya hampir setiap hari, menggarisbawahi kesulitan yang dihadapi penegak hukum dalam mengganggu geng tersebut.
John Fokker, mantan pengawas tim investigasi kejahatan berteknologi tinggi di Kepolisian Nasional Belanda, mengatakan bahwa penghapusan seperti yang dilakukan terhadap LockBit bukan hanya tentang dampak langsung seperti penangkapan pertama dan penyitaan situs-situs kriminal. Mereka juga menyediakan data berharga bagi penegak hukum untuk melanjutkan investigasi mereka terhadap anggota lainnya, yang dapat menjadi alat pencegah yang kuat.
"Apa yang cenderung dilupakan oleh banyak orang adalah bahwa dengan ransomware, bukan hanya kepala ularnya saja yang menjadi sasaran, tetapi juga para afiliasinya," ujar Fokker, yang kini menjabat sebagai kepala intelijen ancaman untuk perusahaan keamanan siber yang berbasis di Milpitas, California, Trellix Corp.
"Sulit untuk menangkap mereka semua, tetapi menciptakan lingkungan yang tidak aman juga bisa cukup efektif. Kejahatan siber tumbuh subur ketika para penjahat merasa aman untuk melakukan bisnis, namun ketika keamanan atau kepercayaan ini rusak, hal itu akan menghentikan perkembangan dan bahkan kerajaan terbesar pun akan hancur berantakan."
(bbn)