:strip_icc()/kly-media-production/medias/5312124/original/050197600_1754905204-Akamai_SOTI_Ransomware_004.jpg)
Serangan ransomware terus meningkat secara agresif, menjadi ancaman siber paling menonjol dan merugikan bagi individu, perusahaan, serta infrastruktur kritis di seluruh dunia. Tren tahun 2024 dan proyeksi 2025 menunjukkan eskalasi yang mengkhawatirkan dalam frekuensi dan kecanggihan serangan ini.
Statistik terkini menyoroti kondisi yang memburuk. Insiden ransomware global dilaporkan meningkat 86% pada periode Januari hingga April 2025, dengan kuartal pertama tahun 2025 mencatat lonjakan serangan sebesar 126% dibandingkan periode yang sama tahun sebelumnya. Sepanjang tahun 2024, tercatat 5.414 serangan ransomware global, naik 11% dari tahun 2023. Dampak finansialnya juga membengkak. Biaya pemulihan rata-rata (tidak termasuk pembayaran tebusan) melonjak menjadi 2,73 juta dolar AS dari 1,82 juta dolar AS pada tahun 2023. Rata-rata pembayaran tebusan yang diminta melonjak lima kali lipat, dari 400.000 dolar AS menjadi 2 juta dolar AS. Ransomware kini bertanggung jawab atas sekitar 20% dari seluruh serangan siber.
Para pelaku ancaman di balik serangan ini semakin canggih dan terorganisir. Beberapa kelompok ransomware terkemuka terus beroperasi dengan model Ransomware-as-a-Service (RaaS), di mana mereka menyediakan malware kepada afiliasi untuk disebarkan secara luas. Model ini menurunkan hambatan masuk bagi penjahat siber, memungkinkan lebih banyak aktor untuk melancarkan serangan.
Di antara dalang utama yang paling aktif adalah:
* LockBit: Kelompok ini tetap menjadi salah satu yang paling dominan dan berbahaya, dikenal karena teknik enkripsi canggih dan taktik pemerasan ganda (double extortion), yaitu mengenkripsi dan mencuri data sekaligus mengancam akan mempublikasikannya. Pada Mei 2024, LockBit menyerang jaringan ritel besar Kanada, London Drugs, menuntut tebusan 25 juta dolar AS dan membocorkan data karyawan setelah penolakan pembayaran. Mereka juga melumpuhkan sistem medis Rumah Sakit Universitas Zagreb pada Juni 2024 dan membahayakan data keuangan Evolve Bank & Trust di bulan yang sama. LockBit juga bertanggung jawab atas serangan terhadap Royal Mail di Inggris dan National Aerospace Laboratories di India pada tahun 2024. Pemimpin mereka, yang dikenal sebagai LockBitSupp, bahkan telah memperingatkan akan adanya serangan baru pada Februari 2025.
* Lynx: Muncul pada pertengahan 2024, kelompok ini dengan cepat dikenal karena agresivitasnya, menargetkan usaha kecil dan menengah (UKM) di Amerika Utara dan Eropa. Mereka tidak hanya mengenkripsi, tetapi juga mencuri data dan mengancam membocorkannya. Pada Januari 2025, Lynx menyerang Lowe Engineers, menyebabkan pencurian data proyek rahasia. Sepanjang 2024, Lynx mengklaim lebih dari 70 korban.
ALPHV / BlackCat: Dikenal inovatif, kelompok ini menggunakan malware* berbasis Rust dan situs kebocoran data publik untuk menekan korban, dengan target utama sektor hukum, kesehatan, dan ritel. Pada tahun 2024, mereka menyerang Change Healthcare di AS.
Clop: Kelompok ini berspesialisasi dalam pencurian data daripada enkripsi, menjadi terkenal pasca insiden MOVEit. Mereka mengeksploitasi kerentanan zero-day* dan menargetkan sektor pendidikan, keuangan, serta perangkat lunak rantai pasok.
Qilin: Kelompok ini bahkan telah mengadopsi taktik baru dengan menambahkan fitur "Call Lawyer" bagi afiliasinya untuk mengintimidasi korban secara hukum saat bernegosiasi. Malware mereka ditulis dalam bahasa pemrograman Rust dan C, mampu menyebar melalui Safe Mode, membersihkan log*, dan bergerak lateral di jaringan internal.
Play ransomware group: Merupakan salah satu operator ransomware paling aktif di tahun 2024, mendapatkan akses tidak sah melalui kredensial yang disusupi dan melakukan pergerakan lateral di jaringan sebelum mengaktifkan malware*. Kelompok ini juga menerapkan model pemerasan ganda.
Di Indonesia, serangan ransomware juga menunjukkan tren mengkhawatirkan sepanjang 2025, menyasar korporasi, lembaga pemerintah, layanan publik, hingga institusi strategis. Kelompok seperti The Gentlemen, Funksec, dan Killsec3 tercatat aktif. The Gentlemen berhasil menjerat institusi di sektor otomotif, logistik, dan produksi pupuk milik pemerintah, menggunakan skema pemerasan ganda. Funksec menembus sistem SCADA perusahaan air minum daerah dan melelang akses ke sistem tersebut, serta menyerang portal desa.id di Jawa Barat yang mengakibatkan kebocoran data kependudukan. Killsec3 melancarkan dua serangan besar pada paruh kedua 2025, menginfeksi penyedia dompet digital dan jaringan BUMN sektor perminyakan, kemudian menyebarkan data sensitif. APT73 juga dilaporkan menyerang institusi militer pada April 2025, membocorkan data personel. Pusat Data Nasional Sementara (PDNS) Indonesia juga menjadi korban serangan ransomware Brain Cipher, turunan LockBit, pada Juni 2024 yang melumpuhkan layanan publik.
Para pelaku ancaman siber ini tidak hanya termotivasi oleh keuntungan finansial, tetapi juga kadang-kadang motif politik. Mereka memanfaatkan berbagai metode penyusupan seperti email phishing, tautan berbahaya, unduhan dari situs tidak resmi, eksploitasi kerentanan perangkat lunak, dan kredensial VPN yang dicuri. Taktik living-off-the-land dan penggunaan alat dual-use juga sering ditemukan dalam rantai serangan. Selain itu, penggunaan kecerdasan buatan (AI) dan AI generatif (GenAI) mulai dimanfaatkan untuk menyempurnakan teknik rekayasa sosial, seperti vishing (voice phishing) dengan suara realistis, guna menipu karyawan dan memperoleh akses ke jaringan korporat.
Menghadapi serangan ransomware yang semakin ganas ini, organisasi dituntut untuk memperkuat pertahanan siber mereka secara komprehensif. Ini mencakup penerapan cadangan data yang rutin dan terisolasi, edukasi karyawan tentang ancaman siber, penggunaan solusi keamanan siber yang terintegrasi, dan memiliki rencana tanggap insiden yang jelas. Tanpa strategi proaktif dan adaptif, ancaman siber ini akan terus menjadi tantangan besar.
