Serangan Ransomware Interlock Gunakan Malware AI Slopoly

Perkembangan teknologi Artificial Intelligence (AI) kini tidak hanya membawa manfaat bagi berbagai sektor industri, tetapi juga dimanfaatkan oleh pelaku kejahatan siber untuk meningkatkan efektivitas serangan mereka. Hal ini terlihat dari kemunculan malware baru bernama Slopoly, yang diduga dibuat menggunakan teknologi AI generatif dan digunakan dalam rangkaian serangan ransomware Interlock.

Temuan ini diungkap oleh tim peneliti keamanan siber dari IBM X-Force, yang menganalisis sebuah insiden peretasan di mana pelaku berhasil bertahan di dalam sistem korban selama lebih dari satu minggu tanpa terdeteksi. Dalam kurun waktu tersebut, pelaku memanfaatkan akses yang dimiliki untuk mencuri berbagai data penting sebelum akhirnya meluncurkan serangan ransomware.

Serangan ini bermula dari teknik rekayasa sosial yang dikenal sebagai ClickFix, yaitu metode penipuan yang mengelabui korban agar secara tidak sadar menjalankan perintah tertentu yang membuka jalan bagi peretas. Setelah berhasil masuk ke dalam sistem, pelaku kemudian menyebarkan backdoor Slopoly dalam bentuk skrip PowerShell. Skrip ini berfungsi sebagai penghubung antara sistem korban dengan server command-and-control (C2), yang digunakan peretas untuk mengendalikan perangkat dari jarak jauh.

Hasil analisis menunjukkan bahwa Slopoly memiliki sejumlah karakteristik unik yang mengindikasikan keterlibatan AI dalam proses pembuatannya. Misalnya, kode malware ini dilengkapi dengan komentar yang sangat rinci, sistem pencatatan aktivitas (logging) yang terstruktur dengan baik, serta mekanisme penanganan kesalahan (error handling) yang rapi. Selain itu, penamaan variabel dalam kode juga terlihat jelas dan sistematis—sesuatu yang jarang ditemukan dalam malware yang ditulis secara manual oleh manusia.

Meski demikian, secara teknis Slopoly tidak tergolong sebagai malware yang sangat canggih. Dalam kodenya, malware ini disebut sebagai “Polymorphic C2 Persistence Client,” namun para peneliti tidak menemukan kemampuan yang memungkinkan Slopoly mengubah kodenya sendiri secara otomatis saat dijalankan. Dengan kata lain, malware ini tidak benar-benar bersifat polimorfik seperti yang diklaim.

Namun, bukan berarti ancaman yang ditimbulkan bisa dianggap remeh. Para peneliti menilai bahwa penggunaan AI dalam pengembangan malware seperti Slopoly memungkinkan pelaku untuk membuat berbagai variasi dengan cepat, misalnya dengan mengubah konfigurasi, nama fungsi, atau parameter tertentu. Hal ini dapat menyulitkan sistem keamanan dalam mendeteksi pola serangan yang sama.

Secara operasional, Slopoly bekerja dengan cara yang cukup sistematis. Malware ini dipasang di direktori sistem Windows tertentu untuk menghindari kecurigaan, kemudian mulai menjalankan sejumlah fungsi utama. Di antaranya adalah mengumpulkan informasi sistem, mengirim sinyal “heartbeat” ke server C2 setiap 30 detik, serta secara berkala memeriksa apakah ada perintah baru yang harus dijalankan.

Jika menerima instruksi dari server, Slopoly akan mengeksekusinya melalui command prompt (cmd.exe), lalu mengirimkan kembali hasilnya ke server pengendali. Selain itu, malware ini juga memiliki kemampuan untuk mengunduh dan menjalankan file berbahaya lainnya, seperti EXE, DLL, atau skrip JavaScript. Bahkan, Slopoly dapat memperbarui dirinya sendiri atau menghentikan prosesnya sesuai perintah.

Agar tetap bertahan di dalam sistem, Slopoly membuat mekanisme persistensi melalui task terjadwal bernama “Runtime Broker.” Dengan cara ini, malware akan otomatis aktif kembali meskipun sistem telah direstart.

Serangan yang diamati oleh IBM tidak hanya melibatkan Slopoly. Dalam rangkaian serangan yang sama, ditemukan pula malware lain seperti NodeSnake dan InterlockRAT yang berfungsi sebagai backdoor tambahan. Hal ini menunjukkan bahwa pelaku menggunakan pendekatan berlapis untuk memastikan akses ke sistem korban tetap terjaga.

Kelompok yang diduga berada di balik serangan ini adalah Hive0163, yang dikenal memiliki motif finansial dengan cara melakukan pemerasan melalui pencurian data dan ransomware. Mereka memanfaatkan ransomware Interlock, yang pertama kali muncul pada tahun 2024 dan dikenal sebagai salah satu pelopor penggunaan teknik ClickFix dalam serangan siber.

Sejumlah organisasi besar dilaporkan pernah menjadi target kelompok ini, termasuk Texas Tech University System, DaVita, Kettering Health, serta pemerintah kota Saint Paul di Minnesota. Hal ini menunjukkan bahwa target mereka tidak terbatas pada sektor tertentu, melainkan berbagai institusi dengan potensi data bernilai tinggi.

Dalam tahap akhir serangan, ransomware Interlock akan dijalankan sebagai program Windows 64-bit yang dikirim melalui loader bernama JunkFiction. Malware ini mampu berjalan dengan hak akses tinggi (SYSTEM) dan menggunakan Windows Restart Manager API untuk membuka file yang terkunci sebelum mengenkripsinya. File yang telah terenkripsi kemudian diberi ekstensi khusus seperti “. !NT3RLOCK” atau “.int3R1Ock.”

Lebih lanjut, IBM juga mengungkapkan bahwa kelompok Hive0163 kemungkinan memiliki keterkaitan dengan pengembang malware lain, seperti Broomstick, SocksShell, PortStarter, SystemBC, hingga operator ransomware Rhysida. Keterkaitan ini memperlihatkan adanya ekosistem kejahatan siber yang saling terhubung dan terus berkembang.

Kasus Slopoly menjadi bukti nyata bahwa teknologi AI kini mulai dimanfaatkan dalam dunia kejahatan siber. Meskipun belum sepenuhnya canggih, penggunaan AI memungkinkan pembuatan malware menjadi lebih cepat, lebih terstruktur, dan berpotensi lebih sulit dideteksi. Kondisi ini menjadi peringatan bagi organisasi dan pengguna individu untuk semakin meningkatkan kewaspadaan serta memperkuat sistem keamanan digital mereka di tengah ancaman yang terus berkembang.