Gambar: Suriyawut Suriya/iStock/Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Intisari ZDNET
- Picus Labs merilis laporan yang merangking teknik-teknik MITRE ATT&CK.
- Menurut laporan, enkripsi ransomware menunjukkan penurunan.
- Yang naik peringkat adalah malware yang berpura-pura mati sebelum siap menyerang.
—
Dalam Red Report tahunannya—sebuah riset yang menganalisis teknik penyerang di dunia nyata menggunakan data simulasi serangan berskala besar—Picus Labs memperingatkan para profesional keamanan siber bahwa threat actor dengan cepat beralih dari enkripsi ransomware ke pemerasan "sleeperware" yang bersifat parasit sebagai sarana menjarah organisasi hingga jutaan dolar per serangan.
Mengambil Perspektif Pihak Lawan
Dirilis hari ini dan kini memasuki tahun keenam, Red Report setebal 278 halaman mengambil namanya dari latihan keamanan siber yang diselenggarakan Picus dengan mengambil sudut pandang tim penyerang, atau dikenal sebagai "red team".
Nama ini mengacu pada war game dan latihan militer simulasi lainnya di mana red team berperan sebagai musuh sementara blue team bertahan. Laporan ini mengambil perspektif lawan melalui kerangka kerja MITRE ATT&CK, katalog yang terus diperbarui berisi teknik-teknik unik yang digunakan threat actor dunia nyata untuk melancarkan serangan.
Misalnya, ketika threat actor mengenkripsi sistem sebuah organisasi—pada dasarnya membekukan akses organisasi terhadap teknologi informasinya sendiri hingga tebusan dibayar—ID Teknik MITRE ATT&CK unik yang mendeskripsikan pendekatan tersebut adalah T1486.
Berdasarkan analisis terhadap lebih dari satu juta file berbahaya dan 15 juta aksi permusuhan yang diamati pada 2025, Picus Labs merangking seberapa besar ancaman actor mengandalkan berbagai teknik MITRE ATT&CK, lalu mencatat tren naik atau turun teknik-teknik tersebut dibandingkan tahun-tahun sebelumnya.
Menurut Picus Labs, tahun 2025 ditandai dengan "lonjakan masif" dalam bentuk malware yang sangat sabar, yang melalui kombinasi teknik, pada dasarnya dapat berpura-pura mati, menghindari deteksi, dan menyerang hanya ketika peluang yang tepat muncul. Sementara itu, sebagai teknik threat actor yang disukai, lonjakan peringkat itu terjadi dengan mengorbankan enkripsi ransomware.
Beralih dari Enkripsi ke Pemerasan
"Selama satu dekade terakhir, perhatian utama bagi CISO adalah gangguan bisnis yang disebabkan ransomware. Pada 2026, profil risiko telah terbalik," catat laporan tersebut.
"Data menunjukkan penurunan statistik yang besar dalam penyebaran muatan ransomware. Pada 2025, Data Encrypted for Impact (T1486) muncul dalam 21,00% sampel; pada 2026, angka itu terjun bebas menjadi 12,94%. Ini mewakili penurunan relatif sebesar 38%. Penurunan tajam ini memberikan bukti konkret bahwa threat actor mengalihkan model bisnis mereka dari ‘mengunci data’ (enkripsi) ke ‘mencuri data’ (pemerasan) untuk menjaga host tetap hidup demi eksploitasi jangka panjang."
Laporan itu juga menyebutkan bahwa "dominasi Process Injection (T1055) menandakan bahwa penyerang memprioritaskan dwell time daripada kehancuran. Tujuannya bukan lagi untuk merusak sistem Anda, mencuri, dan keluar, tetapi untuk masuk dan menghuni tanpa terdeteksi."
Menurut laporan, tiga teknik MITRE ATT&CK teratas tidak berubah sejak 2024, dengan Process Injection berada di peringkat pertama, diikuti oleh Command and Scripting Interpreter (T1059) dan Credentials from Password Stores (T1555). Namun, perubahan yang paling mencolok dalam peringkat mungkin adalah melonjaknya Virtualization/Sandbox Evasion (T1497) ke posisi keempat.
Kebangkitan Parasit Digital
"Virtualization and Sandbox Evasion (T1497) naik ke peringkat keempat sebagai teknik ATT&CK karena malware yang sadar konteks belajar mendeteksi lingkungan analisis (mis., sandbox) melalui pemeriksaan artefak, timing, dan pola interaksi pengguna," ujar laporan itu.
"Banyak sampel kini menolak untuk dieksekusi ketika diawasi. File dapat melewati gateway otomatis dan hanya aktif di lingkungan produksi, menciptakan rasa aman palsu yang berbahaya."
"Apa yang kami amati adalah kebangkitan parasit digital," kata co-founder dan Wakil Presiden Picus Labs, Dr. Süleyman Özarslan, dalam siaran pers yang disiapkan.
"Para penyerang menyadari lebih menguntungkan untuk menghuni host daripada menghancurkannya. Mereka menyematkan diri di dalam lingkungan, menggunakan identitas terpercaya bahkan perangkat keras fisik untuk mengakses sambil tetap tidak terlihat secara operasional. Jika keamanan Anda bergantung pada mendeteksi ‘pembobolan’, Anda sudah kalah karena mereka sudah masuk."
Özarslan mengatakan kepada ZDNET: "Dalam banyak kasus, penyerang menggunakan kredensial curian untuk masuk seperti pengguna normal, yang memungkinkan mereka melewati kontrol keamanan. Langkah berikutnya adalah pindah ke tempat yang bisa dijangkau akun itu—email, shared drive, aplikasi cloud, sistem SDM, atau keuangan—tanpa memicu alarm karena tidak ada yang terlihat aneh."
"Daripada mengambil segalanya sekaligus, mereka cenderung mengambil sejumlah kecil data berharga dari waktu ke waktu dan tetap diam. Setelah mereka mendapatkan cukup, mereka kembali dengan bukti apa yang mereka akses—file, catatan, atau sampel tertentu—dan menggunakan ancaman membocorkan data itu sebagai leverage. Enkripsi sistem masih bisa terjadi, tetapi seringkali bukan lagi langkah pertama."
Temuan Red Report sejalan dengan prediksi 2026 dari peneliti keamanan siber lainnya. Seperti dicatat dalam 10 ancaman keamanan siber yang diantisipasi ZDNET untuk 2026, para peneliti memperkirakan evolusi dari enkripsi ransomware ke bentuk pemerasan yang lebih canggih.
"Daripada hanya mengenkripsi sistem, ransomware akan bergeser ke dinamika yang lebih besar dalam mencuri, memanipulasi, dan mengancam akan membocorkan atau mengubah data sensitif, menargetkan backup, layanan cloud, dan rantai pasok," kata direktur NCC Group, Nigel Gibbons.
Laporan ini menawarkan serangkaian rekomendasi rinci bagi profesional keamanan siber untuk diikuti guna bertahan melawan sleeperware parasit ini dan ancaman lain yang berperingkat tinggi.
Meskipun enkripsi ransomware turun dari peringkat keenam menjadi kesepuluh, itu tetap merupakan ancaman yang signifikan. Gambar: Suriyawut Suriya/iStock/Getty Images Plus
Seperti yang tercatat dalam laporan 10 besar ZDNET yang telah disebutkan sebelumnya, riset dari Cybersecurity Ventures memprediksi total biaya global kerusakan akibat ransomware akan naik 30%, dari $57 miliar pada 2025 menjadi $74 miliar di tahun 2026.
Berdasarkan Laporan Merah (Red Report), "Bahkan dengan menurunnya penggunaan enkripsi, cadangan data (backup) tetap kritis untuk pemulihan dari serangan perusak (wiper) yang destruktif. Pastikan cadangan tersebut bersifat immutable dan terisolasi dari jaringan utama." Laporan Merah dapat diunduh dari situs web Picus Labs.