catur
KABAREKONOMI.ID, Jakarta – Conti Ransomware jadi salah satu kelompok yang mendukung Rusia dalam serangannya ke Ukraina. Gang hacker ini juga sempat mencuri data Bank Indonesia (BI) pada Februari lalu.
Kini dokumen mengenai gang hacker ini bocor ke publik. Kabarnya ini sebagai tindakan balas dendam tersebut, terdapat kebocoran besar dokumen internal mengenai Conti.
Dokumen yang bocor tersebut termasuk mengenai detail ukuran, kepemimpinan dan operasi bisnis grup. Selain itu juga menyangkut kode sumber ransomware Conti.
Perusahaan ancaman intelijen Cyberint dan sejumlah analis lain mencoba mempelajari dokumen yang bocor tersebut. Berikut beberapa faktanya, dirangkum dari CNBC Internasional, Kamis (14/4/2022):
Tindakan Balas Dendam
Pihak Cyberint menduga kebocoran tersebut nampaknya adalah tindakan balas dendam. Ini didorong karena unggahan Conti mengenai dukungan kepada Rusia.
Kebocoran itu dimulai pada 28 Februari 2022, empat hari setelah serangan Rusia ke Ukraina dimulai. Seseorang membuka akun Twitter bernama ContiLeaks dan membocorkan ribuan pesan internal grup bersama dengan pernyataan mengenai pro-Ukraina.
CNBC Internasional melaporkan akun Twitter telah menonaktifkan direct message, jadi tidak bisa menghubungi pemiliknya secara langsung.
Lotem Finkelstein, kepala intelijen ancaman di Check Point Software Technologies mengatakan pemilik akun mengaku sebagai “peneliti keamanan”.
ContiLeaks nampaknya telah mundur dari pekerjaanya itu. Sebab pada 30 Maret 2022 lalu mengunggah “Kata-kata terakhir saya…Sampai jumlah setelah kemenangan kami! Kemuliaan untuk Ukraina!”.
Beroperasi Seperti Perusahaan Teknologi Biasa
Baik Cyberint, Check Point dan spesialis cyber lain menyebutkan Conti beroperasi dan diatur layaknya perusahaan teknologi biasa. Setelah menerjemahkan banyak pesan dalam bahasa Rusia, Finkelstein menyimpulkan Conti memiliki fungsi manajemen, keuangan dan sumber daya manusia yang jelas.
Selain itu dia menambahkan kelompok tersebut juga punya hierarki organisasi klasik. Yakni memiliki pemimpin tim dan melaporkan top management.
Cyberint juga menemukan bukti penelitian dan pengembangan atau R&D dan unit pengembangan bisnis di dalam Conti.
Finkelstein menambahkan Conti punya kantor fisik di Rusia dan ada kemungkinan punya hubungan dengan pemerintah setempat. “Asumsi kami adalah bahwa organisasi sebesar itu, dengan kantor fisik dan pendapatan sangat besar, tidak akan bisa bertindak di Rusia tanpa persetujuan penuh atau bahkan beberapa kerja sama dengan dinas intelijen Rusia,” jelasnya.
Pegawai
Sejumlah fakta juga terungkap mengenai pegawai Conti. Check Point Research menemukan, kelompok itu menggaji karyawannya dengan Bitcoin dan beberapa diantaranya ditambah ulasan kinerja serta peluang pelatihan.
Negosiator juga akan menerima komisi mulai dari 0,5% hingga 1% dari uang tebusan para korban. Selain itu ada juga terkait karyawan akan menerima bonus jika merekrut orang lain yang bekerja setidaknya selama sebulan.
Ada juga program karyawan bulan ini dan mendapatkan bonus setengah gaji mereka. Check Point juga mengatakan Conti akan mendenda mereka yang memiliki kinerja buruk.
Sejumlah identitas pekerja juga ditutupi dengan nama lain, misalnya Stern (bos besar), Buza (manager teknis), dan Target (mitra Stern dan kepala operasi kantor).
“Saat berkomunikasi dengan karyawan, manajemen yang lebih tinggi akan sering membuat kasus bekerja untuk Conti merupakan kesepakatan seumur hidup, gaji tinggi, tugas menarik, pertumbuhan karir,” kata Check Point Research.
Namun beberapa pesan juga menggambarkan adanya ancaman pemecatan jika tidak menanggapi pesan dengan cukup cepat yakni dalam tiga jam. Selain itu juga jam kerja selama akhir pekan dan hari libur.
Proses Perekrutan
Finkelstein mengatakan Conti menyewa dari kedua sumber yang sah, seperti layanan headhaunting Rusia dan kriminal bawah tanah. Check Point menyebutkan beberapa karyawan bukan spesialis komputer.
Conti memperkerjakan orang bekerja di call center. FBI mengatakan penipuan dukungan teknis sedang meningkat, yakni pelaku akan menyamar sebagai perusahaan terkenal serta menawarkan memperbaiki masalah komputer atau membatalkan biaya berlangganan.
Pegawai Tak Sadar Kerja dengan Conti
Namun ada pegawai yang tidak sadar bekerja dengan Conti. Mereka mengira bekerja untuk perusahaan lain bukan dengan kelompok peretas populer tersebut.
“Yang mengkhawatirkan kami punya bukti bahwa tidak semua karyawan sepenuhnya sadar mereka merupakan bagian dari kelompok kejahatan siber,” kata Finkelstein.
“Karyawan ini mengira mereka bekerja untuk perusahaan iklan, padahal bekerja untuk grup ransomware terkenal”.
Ini terungkap salah satunya manajer berbohong kepada kandidat pekerjaan mengenai organisasi. Bahkan kepada calon karyawan mengatakan “Semuanya anonim di sini, arah utama perusahaan adalah software untuk pentester”.
Hal tersebut mengaju penguji penetrasi, yang merupakan spesialis keamanan siber sah untuk mensimulasikan serangan siber pada jaringan komputer perusahaan sendiri.
Mulai Goyah?
Check Point mengatakan Conti menunjukkan tanda-tanda kesusahan bahkan sebelum ada insiden kebocoran dokumen. Misalnya pembayaran gaji sudah dihentikan sejak beberapa waktu lalu.
Sehari sebelum dokumen bocor, pesan internal menyatakan, “Sudah banyak bocoran, sudah..penangkapan…tidak ada bos, tidak ada kejelasan..tidak ada uang juga..saya harus minta kalian semua untuk mengambil libur 2-3 bulan”.
Namun perusahaan itu menyatakan kemungkinan Conti tetap akan kembali bangkit. Check Point menyatakan sebagian Conti masih beroperasi.
(catur/CNBC)