Enam hari sebelum Natal, Departemen Kehakiman AS dengan lantang mengumumkan kemenangan dalam perjuangan melawan wabah ransomware: Sebuah operasi internasional yang dipimpin oleh FBI telah menargetkan kelompok peretas terkenal yang dikenal sebagai BlackCat atau AlphV, melepaskan kunci dekripsi untuk menggagalkan upaya tebusan mereka terhadap ratusan korban dan menyita situs web gelap yang mereka gunakan untuk mengancam dan memeras mereka. “Dengan mengganggu kelompok ransomware BlackCat, Departemen Kehakiman sekali lagi telah meretas para peretas,” ujar wakil jaksa agung Lisa Monaco dalam sebuah pernyataan.
Namun, dua bulan dan satu minggu kemudian, para peretas tersebut tidak terlihat terganggu. Selama tujuh hari terakhir dan terus berlanjut, BlackCat telah menyandera perusahaan medis Change Healthcare, melumpuhkan perangkat lunaknya di rumah sakit dan apotek di seluruh Amerika Serikat, menyebabkan keterlambatan dalam resep obat untuk sejumlah pasien yang tak terhitung jumlahnya.
Kerusakan berkelanjutan di Change Healthcare, yang pertama kali dilaporkan sebagai serangan BlackCat oleh Reuters, merupakan peristiwa yang sangat suram dalam epidemi ransomware bukan hanya karena tingkat keparahannya, lamanya, dan potensi dampaknya pada kesehatan korban. Analis pelacakan ransomware mengatakan bahwa ini juga mengilustrasikan bagaimana kemenangan penegakan hukum terhadap kelompok ransomware tampaknya semakin singkat, karena para peretas yang ditargetkan oleh penegakan hukum dalam operasi penangkapan yang hati-hati hanya membangun kembali dan memulai kembali serangan mereka tanpa hambatan.
“Karena kita tidak bisa menangkap operator inti yang berada di Rusia atau di daerah yang tidak kooperatif dengan penegakan hukum, kita tidak bisa menghentikan mereka,” kata Allan Liska, seorang peneliti yang fokus pada ransomware untuk perusahaan keamanan cyber Recorded Future. Sebagai gantinya, Liska mengatakan, penegakan hukum sering harus puas dengan menghabiskan bulan atau tahun mengatur pembongkaran yang menargetkan infrastruktur atau membantu korban, tetapi tanpa menangkap pelaku serangan. “Pelaku ancaman hanya perlu berkumpul, mabuk selama akhir pekan, dan kemudian mulai kembali,” kata Liska.
Dalam operasi penangkapan lain yang lebih baru, National Crime Agency Inggris minggu lalu memimpin upaya pembongkaran yang luas terhadap kelompok ransomware Lockbit yang terkenal, merampas infrastrukturnya, menyita banyak dompet kriptonya, menutup situs web gelapnya, dan bahkan memperoleh informasi tentang operator dan mitra-mitra. Namun, kurang dari seminggu kemudian, Lockbit sudah meluncurkan situs web gelap baru di mana mereka terus memeras korban mereka, menampilkan penghitung mundur untuk masing-masing yang menunjukkan hari atau jam yang tersisa sebelum mereka mempublikasikan data yang dicuri secara online.
Semua itu tidak berarti operasi BlackCat atau Lockbit penegakan hukum tidak memiliki efek. BlackCat mencantumkan 28 korban di situs web gelapnya untuk bulan Februari ini, penurunan signifikan dari 60 lebih yang dihitung oleh Recorded Future di situs mereka pada bulan Desember sebelum tindakan FBI. (Change Healthcare saat ini tidak terdaftar di antara korban BlackCat saat ini di situs mereka, meskipun para peretas dilaporkan mengklaim serangan itu, menurut situs pelacakan ransomware Breaches.net. Change Healthcare juga tidak merespon permintaan komentar dari WIRED tentang serangan siber.)
Lockbit, di sisi lain, mungkin menyembunyikan tingkat gangguannya di balik kesombongan situs kebocoran baru mereka, berpendapat Brett Callow, seorang analis ransomware di perusahaan keamanan Emsisoft. Dia mengatakan bahwa kelompok tersebut kemungkinan meminimalkan pembongkaran minggu lalu sebagian untuk menghindari kehilangan kepercayaan dari mitra afiliasinya, para peretas yang meretas jaringan korban atas nama Lockbit dan mungkin terkejut dengan kemungkinan bahwa Lockbit telah dikompromikan oleh penegakan hukum.