JAKARTA (IndoTelko) -- Group-IB, salah satu vendor terdepan di dunia dalam keamanan siber, telah mengidentifikasi 34 kelompok berbahasa Rusia yang mendistribusikan malware info stealer (pencuri info) yang menggunakan model stealer-as-a-service. Para penjahat siber pada umumnya menggunakan Racoon stealer dan RedLine stealer untuk memperoleh kata sandi dari akun-akun game di Steam dan Roblox, kredensial di Amazon dan PayPal, serta catatan pembayaran dan kredensial dompet kripto pengguna.
Dalam tujuh bulan pertama pada tahun 2022, gerombolan tersebut secara keseluruhan menginfeksi lebih dari 890,000 perangkat pengguna dan mencuri lebih dari 50 juta kata sandi. Semua kelompok yang teridentifikasi mengelola serangan-serangannya melalui grup Telegram berbahasa Rusia, meskipun mereka utamanya menargetkan para pengguna di Amerika Serikat, Brasil, India, Jerman, dan Indonesia. Pada tahun 2022, malware info stealer telah berkembang menjadi salah satu ancaman digital yang paling serius.
Lulusan Classiscam
Dengan melacak evolusi skema penipuan Classiscam yang terkenal, para analis Digital Risk Protection Group-IB mengungkapkan cara beberapa “pekerja” (penipu online kelas rendah) mulai beralih menggunakan skema kejahatan yang lebih berbahaya yang melibatkan pendistribusian info stealer. Selain itu, bisnis gelap para pencuri, yang dikoordinasi melalui grup Telegram, menggunakan model operasional yang sama persis dengan Classiscam.
Info-stealer adalah sejenis malware yang mengumpulkan kredensial yang tersimpan dalam peramban (termasuk akun game, layanan email, dan media sosial), detail kartu bank, dan informasi dompet kripto dari komputer yang terinfeksi, lalu mengirimkan semua data tersebut ke operator malware. Setelah sukses melakukan serangan, para penipu bisa mendapatkan uang sendiri menggunakan data yang dicuri atau menjual informasi yang dicuri di pasar gelap untuk para penipu. Menurut Group-IB, stealer adalah ancaman utama yang harus diawasi pada tahun mendatang. Pelaku ancaman yang bertanggung jawab atas serangan terbaru terhadap Uber membeli kredensial yang dibobol dengan Racoon stealer.
Menurut tim Digital Risk Protection Group-IB (bagian dari Unified Risk Platform), kelompok Telegram massal dan bot yang dirancang untuk mendistribusikan info stealer muncul pertama kali pada awal tahun 2021. Dengan menginvestigasi sejumlah akun, analis Group-IB dapat mengonfirmasi bahwa para anggota dari beberapa kelompok penipu yang sebelumnya berpartisipasi dalam skema Classiscam mulai menggunakan stealer. Pada tahun 2021 dan 2022, para ahli Group-IB mengidentifikasi 34 kelompok aktif di Telegram. Rata-rata kelompok distribusi info stealer tersebut memiliki sekitar 200 anggota aktif.
Stealer yang paling terkenal di antara kelompok yang diinvestigasi oleh Group-IB adalah RedLine, yang digunakan oleh 23 dari 34 gerombolan. Racoon menempati posisi kedua: 8 kelompok memakai stealer ini. Stealer kustom digunakan dalam 3 komunitas. Biasanya, para administrator memberikan RedLine dan Racoon kepada para pekerja sebagai imbalan atas pembagian data atau uang yang dicuri. Namun, ketiga malware tersebut ditawarkan untuk disewakan di pasar gelap daring seharga $150-200 per bulan. Beberapa kelompok menggunakan 3 stealer sekaligus, sementara yang lainnya hanya memiliki satu stealer dalam persenjataan mereka.
Dengan beralih dari menipu pengguna pada situs-situs rahasia ke stealer, beberapa pelaku ancaman tidak hanya meniru hierarki dan model Classiscam tapi juga kemampuan teknisnya. Khususnya bot Telegram yang menghasilkan konten berbahaya, komunikasi antar anggota, dan semua pembukuan curang mereka. Tugas para pekerja, para penipu dari kelas yang lebih rendah, juga telah berubah — sekarang mereka harus menggerakkan kunjungan ke situs-situs penipuan berupa web palsu yang meniru perusahaan-perusahaan terkenal dan meyakinkan para korban untuk mengunduh file-file berbahaya. Penjahat siber menanamkan tautan-tautan untuk mengunduh stealer di video-video ulasan game yang populer di YouTube, di perangkat lunak penambang atau file-file NFT di berbagai forum khusus dan komunikasi langsung dengan artis NFT, serta di undian berhadiah dan lotere di media sosial.
Tur dunia Stealer Telegram
Group-IB memperkirakan bahwa antara tanggal 1 Maret (saat Group-IB mulai meneliti skema ini) dan 31 Desember 2021, stealer yang dioperasikan melalui kelompok-kelompok Telegram mampu menyusupi 538.000 perangkat. Selama 7 bulan pertama pada tahun 2022, stealer Telegram dilaporkan hampir dua kali lebih aktif menginfeksi lebih dari 890.000 perangkat di 111 negara.
Lima (5) negara teratas yang paling sering diserang pada tahun 2022 adalah Amerika Serikat, Brasil, India, Jerman, and Indonesia dengan masing-masing secara berurutan 91.565, 86.043, 53.988, 40.750, dan 35.345 perangkat yang terinfeksi.
Di Indonesia, misalnya, tahun lalu (Maret-Desember 2021), operator stealer-stealer yang disebutkan di atas menginfeksi 13.532 perangkat. Selama tujuh bulan pertama pada tahun 2022, jumlahnya meningkat menjadi 35.345. Dari perangkat-perangkat tersebut, para penipu mengambil 2.372.893 kata sandi, 875 set catatan pembayaran, dan 1.765 set informasi dompet kripto, seperti kredensial, seed phrase, dll.
Berdasarkan analisis terhadap kelompok-kelompok Telegram, selama 10 bulan terakhir pada tahun 2021 para penjahat siber mengumpulkan 27.875.879 set kata sandi, 1.215.532.572 file cookie, 56.779 set catatan pembayaran, dan data dari 35.791 dompet kripto. Selama 7 bulan pertama pada tahun 2022, para pelaku ancaman mencuri 50.352.518 kata sandi, 2.117.626.523 file cookie, detail dari 103.150 kartu bank, dan data dari 113.204 dompet kripto. Nilai di pasar gelap daring dari log yang dicuri dan detail kartu yang dibobol mencapai sekitar $5,8 juta, berdasarkan perkiraan ahli Group-IB.
Menurut Group-IB, pada tahun 2021, pelaku ancaman di seluruh dunia paling sering mengumpulkan kredensial akun PayPal (lebih dari 25%) dan kredensial Amazon (lebih dari 18%). Pada tahun 2022, layanan yang paling ditargetkan masih sama, yaitu PayPal (lebih dari 16%) dan Amazon (lebih dari 13%). Namun, sepanjang tahun, kasus-kasus pencurian kata sandi untuk layanan game (Steam, EpicGames, Roblox) di log telah meningkat hingga hampir lima kali lipat.
“Besarnya jumlah pekerja yang masuk ke penipuan populer Classiscam — yang diidentifikasi oleh Unified Risk Platform Group-IB, pada puncaknya meliputi dari seribu kelompok penjahat dan ratusan ribu situs-situs web palsu — telah menyebabkan para penjahat berkompetisi untuk memperoleh sumber daya dan mencari cara-cara baru untuk mendapat keuntungan,” kata Ilia Rozhnov, kepala Digital Risk Protection Group-IB di Asia Pasifik.
“Kepopuleran skema yang melibatkan stealer disebabkan oleh kemudahan untuk bergabung. Para pemula tidak perlu memiliki pengetahuan teknis yang tinggi karena prosesnya sepenuhnya otomatis dan tugas pekerja hanyalah membuat sebuah file berisi stealer di bot Telegram dan menggerakkan kunjungan ke sana. Namun, bagi para korban yang komputernya terinfeksi stealer akibatnya bisa fatal," katanya.