Negosiator bail-out dicurigai berkolusi dengan para peretas

Kementerian Kehakiman AS sedang menyelidiki kasus terhadap mantan karyawan perusahaan DigitalMint, yang membantu korban program ransomware. Demikian dilaporkan Bloomberg.

Seorang pria diduga berkolusi dengan peretas untuk mendapatkan bagian dari cryptocurrency yang dibayarkan oleh para korban.

Presiden perusahaan DigitalMint, Mark Grens, mengonfirmasi bahwa salah satu mantan karyawan sedang dalam penyelidikan. Perusahaan telah memecatnya dan bekerja sama dengan pihak berwenang. Manajemen menekankan bahwa perusahaan itu sendiri bukanlah objek penyelidikan.

«Kami bertindak cepat untuk melindungi klien kami», — kata CEO Jonathan Solomon.

Menurut Bloomberg, beberapa perusahaan hukum dan asuransi telah menyarankan klien untuk menolak layanan DigitalMint karena tuduhan ini.

Di situs DigitalMint, dikatakan tentang pengalaman dalam menyelesaikan lebih dari 2000 insiden sejak tahun 2017. Perusahaan terdaftar di FinCEN sebagai operator pengiriman uang dan memiliki lisensi di beberapa negara bagian.

Konflik kepentingan

Kepala perusahaan pesaing Coveware, Bill Siegel, dalam komentarnya kepada BleepingComputer menjelaskan bahwa penyalahgunaan semacam itu mungkin terjadi karena model bisnis yang salah.

Menurutnya, konflik kepentingan muncul ketika perantara mendapatkan persentase dari jumlah tebusan. Ini memotivasi mereka untuk mengejar pembayaran yang lebih besar, bukan bertindak demi kepentingan klien. Siegel percaya bahwa dalam bidang ini hanya model dengan pembayaran biaya tetap yang cocok.

«Negosiator tidak memiliki insentif untuk menurunkan harga atau memberi tahu korban semua fakta, jika perusahaan tempat dia bekerja mendapatkan keuntungan dari jumlah tebusan yang dibayarkan,» kata CEO AFTRDRK James Taliento.

Masalah ini tidak baru. Bahkan pada tahun 2019, penyelidikan ProPublica menunjukkan bahwa beberapa perusahaan diam-diam membayar pelanggar dengan mengeluarkan tagihan kepada klien untuk "pemulihan data". Kelompok peretas seperti REvil dan GandCrab bahkan membuat kode diskon khusus untuk "mitra" semacam itu.

Perusahaan semakin jarang membayar

Jumlah perusahaan yang memberikan konsesi kepada penjahat siber menurun. Menurut Coveware, pada kuartal terakhir 2024, hanya 25% dari organisasi yang diserang yang membayar tebusan. Sebagai perbandingan, pada kuartal pertama 2019, angka ini mencapai 85%.

25 perusahaan, yang terkena dampak program ransomware pada kuartal IV 2024, membayar tebusan. Data: Coveware. Jumlah pembayaran median turun 45% — menjadi $110 890. Hal ini disebabkan oleh organisasi yang meningkatkan perlindungan siber dan semakin sering menolak untuk membiayai penjahat.

Virus ransomware yang paling aktif pada akhir tahun 2024 adalah Akira dan Fog. Mereka terutama menyerang usaha kecil dan menengah. Para analis juga mencatat peningkatan jumlah hacker tunggal yang tidak mempercayai platform RaaS besar.

Di Chainalysis juga mencatat penurunan total volume pembayaran sebesar 35% — dari $1,25 miliar pada tahun 2023 menjadi $813,55 juta pada tahun 2024.

Untuk pertama kalinya sejak 2022, pendapatan dari program ransomware telah menurun. Data: Chainalysis. Menurut para ahli, alasan utama adalah tindakan penegak hukum dan semakin banyaknya korban yang menolak membayar tebusan.

Di Chainalysis mencatat bahwa kesenjangan antara jumlah tebusan yang diminta dan yang dibayarkan semakin meningkat. Menurut perusahaan Kivu Consulting, hanya sekitar 30% negosiasi yang menghasilkan pembayaran. Korban semakin sering memulihkan data dari cadangan, menganggapnya sebagai cara yang lebih cepat dan murah.

Metode legalisasi dana juga telah berubah, kata para analis. Pelaku kejahatan semakin jarang menggunakan mixer karena sanksi dan tindakan pemerintah terhadap layanan seperti Tornado Cash dan Sinbad.

Alih-alih, operator lebih sering mengandalkan jembatan lintas rantai. Alat utama untuk menarik dana tetaplah bursa terpusat.

Sebagai pengingat, pada bulan Mei, analis Global Ledger menggambarkan waktu pemindahan cryptocurrency yang dicuri.