EncryptHub: Kelompok Peretas di Balik 618 Serangan Siber Global

Kelompok peretas EncryptHub atau dikenal sebagai Larva-208, telah berhasil meretas 618 organisasi di seluruh dunia. Mereka menggunakan phishing, rekayasa sosial, dan malware untuk mencuri data penting dan menyebarkan ransomware.

Menurut laporan dari Prodaft, EncryptHub mulai beroperasi sejak Juni 2024 dan telah menjadi ancaman besar bagi perusahaan di berbagai industri. Serangan mereka sangat terorganisir, dengan strategi yang mencakup pemalsuan situs login, penggunaan software manajemen jarak jauh, serta penyebaran malware dan ransomware.

Artikel ini akan menjelaskan bagaimana kelompok ini bekerja, teknik yang mereka gunakan, serta dampaknya bagi perusahaan di seluruh dunia.

Bagaimana EncryptHub Melakukan Serangan?

EncryptHub menggunakan berbagai teknik canggih untuk mendapatkan akses ke sistem perusahaan. Serangan mereka umumnya dilakukan melalui phishing dan rekayasa sosial, kemudian berlanjut ke pengambilan data, hingga penyebaran ransomware. Berikut adalah langkah-langkah utama dalam operasi mereka:

1. Phishing dan Rekayasa Sosial: Mengelabui Karyawan
   Kelompok ini menggunakan berbagai trik untuk mengelabui karyawan agar mereka memberikan akses ke sistem perusahaan. Salah satu cara yang paling sering digunakan adalah dengan membuat situs login palsu untuk layanan VPN atau email perusahaan.
   Beberapa layanan yang sering mereka tiru antara lain:
   
   • Cisco AnyConnect
   • Palo Alto GlobalProtect
   • Microsoft 365
   • Fortinet
   Mereka mengirimkan email atau SMS palsu kepada karyawan, mengaku sebagai tim IT perusahaan, dan meminta mereka untuk memperbarui akun atau login ke VPN perusahaan. Jika karyawan mengikuti instruksi ini dan memasukkan username, password, serta kode autentikasi multi-faktor (MFA), semua informasi tersebut langsung jatuh ke tangan peretas.
   Setelah mendapatkan akses awal, mereka mulai menggunakan perangkat lunak manajemen jarak jauh (RMM) untuk mengendalikan sistem korban. Software yang sering digunakan antara lain:
   • AnyDesk
   • TeamViewer
   • ScreenConnect
   • Atera
   • Splashtop

   Dengan software ini, mereka bisa mengendalikan komputer korban, mencuri data, atau menyebarkan malware ke perangkat lain dalam jaringan perusahaan.

2. Menyebarkan Malware dan Mencuri Data Sensitif
   Setelah masuk ke dalam sistem, EncryptHub mulai menginstal berbagai malware pencuri data (infostealer) seperti:
   
   • Stealc
   • Rhadamanthys
   • Fickle Stealer
   Malware ini dirancang untuk mencuri:
   • Kata sandi yang tersimpan di browser
   • Token login sesi (session cookies)
   • Data dari dompet kripto
   • Informasi dari pengelola kata sandi (password manager)
   Beberapa target utama mereka meliputi:
   • Dompet Kripto
     Mereka berusaha mencuri data dari berbagai wallet cryptocurrency, termasuk:
     • MetaMask
     • Ethereum Wallet
     • Coinbase Wallet
     • Trust Wallet
     • Brave Wallet
   • VPN dan Sistem Keamanan
     EncryptHub juga mengincar konfigurasi VPN perusahaan, seperti:
     
     • Cisco VPN Client
     • FortiClient
     • OpenVPN
     • WireGuard
   • Pengelola Kata Sandi
     Mereka menargetkan aplikasi password manager seperti:
     
     • 1Password
     • NordPass
     • DashLane
     • Bitwarden
     • LastPass
   • Dokumen Penting
     Mereka juga mencari dokumen yang mengandung kata kunci seperti "password", "account", "auth", "wallet", "secret" dalam berbagai format file, seperti:
     
     • Dokumen Word (.docx, .doc)
     • Spreadsheet Excel (.xlsx, .csv)
     • File sertifikat keamanan
3. Melumpuhkan Perusahaan dengan Ransomware
   Setelah mencuri data yang cukup, EncryptHub sering meluncurkan serangan ransomware. Mereka menggunakan script PowerShell untuk:
   
   • Mengenkripsi file penting dengan algoritma AES
   • Menghapus file asli dan menggantinya dengan ekstensi ".crypted"
   • Menampilkan pesan tebusan, meminta pembayaran dalam USDT (Tether) melalui Telegram
   Kelompok ini diyakini memiliki hubungan dengan kelompok ransomware terkenal, seperti RansomHub dan BlackSuit. Mereka mungkin bertindak sebagai perantara akses awal, menjual akses ke jaringan perusahaan yang sudah diretas kepada kelompok ransomware lainnya.

Dampak Serangan EncryptHub

Serangan yang dilakukan oleh kelompok peretas EncryptHub tidak hanya merugikan perusahaan secara finansial, tetapi juga mengancam kelangsungan bisnis dan kepercayaan pelanggan. Berikut adalah beberapa dampak utama yang ditimbulkan:

1. Pencurian Data Rahasia yang Dijual di Dark Web
   EncryptHub menargetkan data sensitif perusahaan, termasuk informasi pelanggan, detail keuangan, hingga rahasia dagang. Data-data ini kemudian dijual di dark web, sebuah jaringan tersembunyi di internet yang sering digunakan untuk transaksi ilegal. Jika data perusahaan jatuh ke tangan pelaku kejahatan, hal ini dapat digunakan untuk berbagai aksi berbahaya seperti penipuan, pemalsuan identitas, atau serangan siber lanjutan.
2. Gangguan Operasional Akibat Ransomware
   Setelah mencuri data, EncryptHub sering kali melancarkan serangan ransomware, yang mengenkripsi file dan sistem perusahaan, sehingga tidak dapat diakses oleh pemiliknya. Akibatnya, operasional bisnis bisa terhenti total, menyebabkan hilangnya produktivitas, terhambatnya layanan pelanggan, hingga kerugian besar dalam jangka pendek maupun panjang.
3. Kerugian Finansial Akibat Tebusan yang Tinggi
   Peretas biasanya meminta tebusan dalam bentuk cryptocurrency, seperti USDT (Tether), yang sulit dilacak oleh pihak berwenang. Jumlah tebusan yang diminta bisa mencapai jutaan dolar, tergantung pada ukuran dan nilai data yang dicuri. Jika perusahaan tidak memiliki cadangan data yang aman, mereka sering kali terpaksa membayar demi memulihkan sistem mereka.
4. Kerusakan Reputasi dan Hilangnya Kepercayaan Pelanggan
   Salah satu dampak paling berbahaya dari serangan ini adalah kerusakan reputasi. Jika data pelanggan bocor, perusahaan bisa kehilangan kepercayaan klien dan mitra bisnisnya. Pelanggan mungkin merasa tidak aman untuk bertransaksi atau menyimpan data mereka di platform tersebut, yang pada akhirnya dapat berdampak pada penurunan pendapatan dan kehilangan pangsa pasar.

Skala Operasi EncryptHub yang Mengkhawatirkan
Menurut laporan dari Prodaft, EncryptHub memiliki skala operasi yang sangat luas. Mereka mengelola lebih dari 70 domain phishing yang dirancang untuk menipu karyawan dan mencuri kredensial login. Selain itu, mereka menggunakan bulletproof hosting, sebuah layanan hosting yang sulit ditutup meskipun ada permintaan dari otoritas hukum. Dengan infrastruktur yang tersebar di berbagai negara, menghentikan aktivitas kelompok ini menjadi tantangan besar bagi para penegak hukum.

Serangan yang dilakukan EncryptHub menjadi pengingat bahwa ancaman siber semakin berkembang dan sulit dideteksi. Oleh karena itu, perusahaan harus lebih waspada, meningkatkan sistem keamanan, dan menerapkan strategi pencegahan yang lebih ketat untuk melindungi data serta infrastruktur mereka dari ancaman yang terus berkembang ini.

Bagaimana Perusahaan Bisa Melindungi Diri?

Menghadapi ancaman seperti EncryptHub, perusahaan perlu mengambil langkah-langkah pencegahan yang lebih ketat, seperti:

1. Edukasi Karyawan tentang Phishing
   
   • Pastikan semua karyawan tahu cara mengenali email dan situs palsu.
   • Jangan pernah mengklik tautan atau membuka lampiran mencurigakan dari email yang tidak dikenal.
2. Menggunakan Autentikasi Multi-Faktor (MFA) yang Lebih Kuat
   
   • Hindari penggunaan MFA berbasis SMS, karena lebih mudah disadap.
   • Gunakan autentikasi berbasis aplikasi atau perangkat fisik seperti YubiKey.
3. Memantau Penggunaan Perangkat Lunak Manajemen Jarak Jauh
   
   • Batasi penggunaan AnyDesk, TeamViewer, atau software serupa hanya untuk keperluan resmi.
   • Gunakan sistem deteksi anomali untuk mengidentifikasi aktivitas mencurigakan.
4. Menerapkan Keamanan Data yang Ketat
   
   • Enkripsi data penting sehingga tidak bisa diakses dengan mudah.
   • Lakukan backup secara berkala, dan simpan di tempat yang terpisah dari jaringan utama.
5. Memantau Aktivitas Login Mencurigakan
   
   • Periksa apakah ada upaya login dari lokasi atau perangkat yang tidak dikenal.
   • Gunakan sistem deteksi intrusi (IDS/IPS) untuk mencegah akses yang tidak sah.

Kelompok peretas EncryptHub menunjukkan bahwa serangan siber semakin canggih dan sulit dideteksi. Dengan teknik rekayasa sosial yang licik, mereka berhasil mengelabui karyawan untuk mendapatkan akses ke sistem perusahaan, mencuri data, dan bahkan melumpuhkan bisnis dengan ransomware.

Oleh karena itu, perusahaan harus lebih waspada dan meningkatkan sistem keamanan mereka untuk menghadapi ancaman ini. Jika tidak, serangan seperti yang dilakukan oleh EncryptHub bisa terus terjadi dan merugikan banyak pihak.