Kegagalan OpSec Ransomware INC Bikin Data 12 Organisasi AS Berhasil Dipulihkan
Sebuah kegagalan operational security (OpSec) dari kelompok INC ransomware memungkinkan peneliti keamanan memulihkan data yang sebelumnya dicuri dari 12 organisasi di Amerika Serikat. Temuan ini menunjukkan bahwa kesalahan kecil dalam infrastruktur penyerang dapat berdampak besar, bahkan pada operasi ransomware yang terorganisir.
Keberhasilan pemulihan data ini diungkap oleh Cyber Centaurs, sebuah perusahaan digital forensics dan incident response. Investigasi mereka bermula dari satu insiden ransomware yang menimpa klien di AS, namun kemudian berkembang menjadi analisis infrastruktur penyerang yang jauh lebih luas.
Artefak Tertinggal Buka Akses Infrastruktur Penyerang
Kasus ini bermula ketika sebuah organisasi mendeteksi aktivitas enkripsi ransomware pada server SQL produksi. Varian RainINC ransomware dijalankan dari direktori PerfLogs, sebuah folder bawaan Windows yang kini semakin sering disalahgunakan penyerang sebagai lokasi staging.
Dalam proses forensik, tim menemukan berbagai artefak yang tidak sepenuhnya relevan dengan serangan tersebut, termasuk jejak dari Restic, sebuah alat backup open-source yang sah. Meski Restic tidak digunakan langsung dalam insiden itu, sisa-sisa skrip dan konfigurasi justru membuka petunjuk penting tentang cara operasi kelompok INC.
Artefak tersebut mencakup binary yang diganti nama, skrip PowerShell, hingga variabel konfigurasi hardcoded yang berisi informasi repositori backup berbasis S3. Salah satu skrip PowerShell bahkan menyimpan perintah Restic yang di-encode Base64, lengkap dengan kredensial akses dan lokasi repositori terenkripsi.
Repositori Lama, Data Korban Masih Tersimpan
Dari temuan ini, peneliti menduga bahwa kelompok INC menggunakan infrastruktur Restic yang sama secara berulang lintas kampanye. Artinya, repositori backup yang dipakai untuk menyimpan data curian kemungkinan tidak dibongkar setelah satu serangan selesai.
Hipotesis tersebut terbukti benar. Dengan metode enumerasi yang terkendali dan tidak merusak, Cyber Centaurs menemukan data terenkripsi milik 12 organisasi berbeda yang tersimpan di server penyerang. Organisasi-organisasi tersebut berasal dari sektor kesehatan, manufaktur, teknologi, dan jasa, serta tidak memiliki keterkaitan satu sama lain.
Menariknya, tidak satu pun dari organisasi tersebut merupakan klien Cyber Centaurs, dan seluruh insiden merupakan kasus ransomware terpisah. Hal ini memperkuat indikasi bahwa kegagalan OpSec INC berdampak lintas korban dalam jangka panjang.
Data Berhasil Didekripsi dan Diamankan
Setelah memastikan kepemilikan data, tim peneliti berhasil mendekripsi backup tersebut dan menyimpan salinannya secara aman. Proses ini dilakukan dengan melibatkan aparat penegak hukum untuk memastikan prosedur yang sah dan membantu proses pengembalian data ke organisasi yang berhak.
Selain itu, laporan Cyber Centaurs juga mengungkap berbagai alat lain yang digunakan INC ransomware, mulai dari remote access tools, pemindai jaringan, hingga utilitas pembersih jejak. Berdasarkan temuan tersebut, tim menyusun aturan YARA dan Sigma untuk membantu organisasi mendeteksi penggunaan Restic atau binary yang disamarkan, khususnya jika dijalankan dari lokasi mencurigakan.
Pelajaran Penting bagi Dunia Keamanan Siber
INC ransomware sendiri dikenal sebagai operasi ransomware-as-a-service (RaaS) yang aktif sejak pertengahan 2023 dan telah mengklaim sejumlah korban besar. Namun kasus ini menunjukkan bahwa bahkan kelompok ransomware berpengalaman pun bisa melakukan kesalahan mendasar.
Bagi organisasi dan praktisi keamanan, insiden ini menegaskan pentingnya analisis forensik mendalam. Artefak yang tampak sepele bisa menjadi kunci untuk membongkar infrastruktur penyerang, memulihkan data, dan bahkan membantu korban lain yang sebelumnya tidak teridentifikasi.
