Mantan Afiliasi Black Basta Diduga Beralih ke Ransomware CACTUS

Tim peneliti keamanan siber baru-baru ini menemukan bahwa ransomware CACTUS memiliki kesamaan taktik dengan Black Basta. Hal ini mengindikasikan adanya kemungkinan perpindahan afiliasi dari kelompok ransomware Black Basta ke CACTUS. Temuan ini menambah daftar panjang ancaman siber yang semakin canggih dan berbahaya.

Modus Operandi Ransomware CACTUS dan Black Basta
Penelitian terbaru oleh Trend Micro menunjukkan bahwa kelompok peretas yang menggunakan ransomware Black Basta dan CACTUS mengandalkan modul BackConnect (BC) yang sama untuk mempertahankan kendali atas sistem yang telah mereka retas. Modul ini memungkinkan mereka mengakses perangkat korban secara jarak jauh, mengeksekusi perintah, dan mencuri data sensitif seperti informasi login, data keuangan, serta file pribadi.

Fakta bahwa keduanya menggunakan metode yang sama mengindikasikan bahwa mantan afiliasi Black Basta mungkin telah berpindah ke CACTUS dan menggunakan teknik serupa untuk melancarkan aksinya.

Lebih lanjut, modul BC ini telah dilacak oleh perusahaan keamanan siber sebagai QBACKCONNECT, karena memiliki banyak kesamaan dengan malware loader QakBot. Pada Januari 2025, modul ini pertama kali didokumentasikan oleh tim Cyber Intelligence Walmart dan Sophos, yang menamai klaster ancaman ini sebagai STAC5777.

Black Basta: Menggunakan Serangan Email Bombing untuk Menjebak Korban
Dalam setahun terakhir, kelompok Black Basta semakin sering menggunakan teknik email bombing untuk menipu korban. Serangan ini dilakukan dengan mengirimkan banyak email bertubi-tubi kepada target, sehingga korban merasa panik dan cenderung mengikuti instruksi yang diberikan dalam email tersebut.

Modus yang sering digunakan adalah dengan menyamar sebagai tim IT support atau helpdesk, lalu meminta korban menginstal Quick Assist, alat resmi Microsoft yang biasa digunakan untuk memberikan bantuan jarak jauh.

Setelah korban menginstal Quick Assist, para peretas kemudian menggunakan akses tersebut untuk memasukkan loader DLL berbahaya bernama "REEDBED" melalui OneDriveStandaloneUpdater.exe, aplikasi asli Microsoft OneDrive. Loader ini kemudian mendekripsi dan menjalankan modul BC, yang memungkinkan mereka mendapatkan kontrol penuh atas sistem korban.

Namun, metode ini berubah setelah pihak berwenang berhasil menutup infrastruktur QakBot, yang sebelumnya sering digunakan oleh Black Basta untuk menginfeksi jaringan perusahaan. Meski begitu, penggunaan QBACKCONNECT menunjukkan bahwa ada hubungan erat antara pengembang Black Basta dan QakBot.

CACTUS: Meniru Teknik Black Basta dan Melakukan Aksi Tambahan
Trend Micro juga menemukan bahwa CACTUS menggunakan metode yang sama dengan Black Basta untuk menyebarkan ransomware mereka. Namun, peretas CACTUS tidak hanya berhenti di tahap awal serangan, tetapi juga melanjutkan aksinya dengan melakukan pergerakan lateral di dalam jaringan korban dan mencuri data lebih lanjut.

Dalam salah satu serangan yang terdeteksi, upaya CACTUS untuk mengenkripsi jaringan korban akhirnya gagal. Namun, kelompok ini tetap berhasil mencuri data yang berharga dari sistem target.

Selain itu, ada bukti kuat yang menunjukkan bahwa CACTUS juga menggunakan skrip PowerShell bernama "TotalExec" untuk mengotomatiskan penyebaran ransomware, teknik yang sebelumnya diketahui digunakan oleh Black Basta.

Bocoran Percakapan Black Basta Mengungkap Hubungan dengan CACTUS
Yang membuat kasus ini semakin menarik adalah adanya bocoran percakapan internal Black Basta yang mengungkap cara kerja organisasi kejahatan siber ini dari dalam.

Dari hasil analisis, diketahui bahwa anggota kelompok ini saling berbagi kredensial login yang valid, banyak di antaranya berasal dari malware pencuri informasi. Selain itu, beberapa cara yang sering digunakan untuk mendapatkan akses awal ke sistem korban adalah melalui Remote Desktop Protocol (RDP) dan endpoint VPN.

"Para pelaku kejahatan siber menggunakan metode seperti vishing (voice phishing), Quick Assist sebagai alat kendali jarak jauh, serta BackConnect untuk menyebarkan ransomware Black Basta," ungkap Trend Micro dalam laporannya.

Lebih lanjut, ada bukti kuat bahwa beberapa anggota Black Basta kini telah beralih ke kelompok ransomware CACTUS. Kesimpulan ini didasarkan pada analisis mendalam terhadap taktik, teknik, dan prosedur (TTP) yang sama yang kini diterapkan oleh kelompok CACTUS.

Ancaman Siber yang Terus Berkembang
Temuan ini menjadi peringatan serius bagi perusahaan dan individu agar semakin waspada terhadap ancaman ransomware. Perpindahan afiliasi dari satu kelompok ransomware ke kelompok lain menunjukkan bahwa pelaku kejahatan siber terus beradaptasi dan mengembangkan metode baru untuk melancarkan aksinya.

Dengan teknik serangan yang semakin canggih, perusahaan dan pengguna individu perlu memperketat sistem keamanan siber mereka, terutama dalam hal:

1. Melakukan pelatihan keamanan bagi karyawan agar tidak mudah tertipu oleh serangan rekayasa sosial seperti vishing dan email bombing.
2. Menerapkan autentikasi multi-faktor (MFA) untuk mengamankan akses ke sistem penting.
3. Menggunakan software keamanan yang diperbarui secara berkala untuk mendeteksi dan mencegah infeksi malware.
4. Membatasi akses jarak jauh melalui RDP dan VPN, serta menerapkan sistem keamanan tambahan pada layanan tersebut.

Keberhasilan penegakan hukum dalam menutup QakBot menunjukkan bahwa upaya untuk melawan kejahatan siber masih terus dilakukan. Namun, peretas selalu mencari cara baru untuk menggantikan infrastruktur yang telah ditutup.

Oleh karena itu, kesiapsiagaan dan kewaspadaan tetap menjadi kunci utama dalam melindungi diri dari ancaman siber yang terus berkembang.