Manajer Botnet Serangan Ransomware Asal Rusia Divonis 2 Tahun Penjara
Seorang warga negara Rusia dijatuhi hukuman dua tahun penjara setelah mengakui bahwa botnet phishing yang ia kelola telah disalahgunakan untuk melancarkan serangan ransomware BitPaymer terhadap 72 perusahaan di Amerika Serikat.
Berdasarkan dokumen pengadilan, Ilya Angelov (40), yang beroperasi menggunakan nama samaran daring “milan” dan “okart”, secara sukarela melakukan perjalanan ke Amerika Serikat untuk mengaku bersalah dan menghadapi dakwaan. Keputusan langka ini ia ambil pasca-invasi Rusia ke Ukraina pada Februari 2022, dan setelah rekan kriminalnya di geng IcedID, Vyacheslav Igorevich Penchukov, tertangkap di Swiss.
Dalang di Balik Operasi “Mario Kart” (TA551)
Angelov merupakan salah satu dari dua pemimpin operasi kejahatan siber asal Rusia yang dilacak oleh FBI dengan nama geng Mario Kart. Di kalangan analis keamanan siber dari berbagai perusahaan keamanan, kelompok ancaman ini juga dikenal luas dengan berbagai alias, seperti TA551, Shathak, GOLD CABIN, Monster Libra, ATK236, dan G0127.
Sebagai manajer operasi, Angelov dan rekannya bertugas merekrut anggota dan mengawasi seluruh aktivitas berbahaya sindikat tersebut. Anggota geng mengisi berbagai peran teknis, mulai dari pembuat kode (coder) yang bertanggung jawab mengembangkan malware, merancang program distribusi email spam otomatis, hingga memodifikasi kode malware agar tidak terdeteksi oleh perangkat lunak keamanan (antivirus).
“Melalui kampanye email spam berskala masif—yang dapat mengirimkan 700.000 email dalam sehari—kelompok ini mendistribusikan malware ke seluruh penjuru dunia,” ungkap pihak jaksa penuntut. “Jika penerima yang tidak curiga mengklik lampiran pada salah satu email kelompok tersebut, malware yang tersembunyi akan menginfeksi komputer mereka dan menambahkannya ke dalam pasukan botnet Mario Kart. Pada puncak operasinya, sekitar 3.000 komputer per hari dapat terinfeksi.”
Model Bisnis: Menjual Akses ke Geng Ransomware
Dari tahun 2017 hingga 2021, kelompok kejahatan siber ini menggunakan botnet raksasa mereka untuk mendistribusikan malware dalam kampanye phishing skala besar. Setelah berhasil meretas banyak sistem, mereka tidak melakukan pemerasan secara langsung. Alih-alih, mereka menjual pintu akses perangkat yang terinfeksi tersebut kepada penjahat siber lain, khususnya kepada para afiliasi yang terlibat dalam operasi Ransomware-as-a-Service (RaaS).
“Akses ini dijual ke kelompok kriminal lain, yang biasanya terlibat dalam skema pemerasan ransomware: mengunci korban dari jaringan komputer mereka dan menuntut pembayaran tebusan—umumnya dalam bentuk mata uang kripto—untuk memulihkan akses,” jelas Departemen Kehakiman AS pada hari Selasa.
FBI berhasil mengidentifikasi lebih dari 70 perusahaan AS yang terinfeksi ransomware oleh satu organisasi yang memiliki ikatan langsung dengan kelompok Angelov. Insiden tersebut mengakibatkan kerugian dari pembayaran tebusan pemerasan senilai lebih dari USD 14 juta (sekitar Rp220 miliar).
Kolaborasi dengan Sindikat Kriminal Elit
Sebagian besar serangan ini terjadi antara Agustus 2018 dan Desember 2019, yang semuanya bermuara pada operasi ransomware BitPaymer. Namun, itu bukan satu-satunya sumber pendapatan mereka. Geng IcedID juga dilaporkan telah membayar Angelov dan komplotannya sekitar satu juta dolar lagi antara akhir 2019 hingga Agustus 2021 demi mendapatkan akses ke botnet tersebut, yang dampak kerugian totalnya belum sepenuhnya diketahui.
Dalam rekam jejaknya, kelompok TA551 ini memang dikenal sering “bermitra” dengan berbagai operator malware elit. Mereka pernah berkolaborasi dengan geng TrickBot (Wizard Spider) yang terkenal kejam dalam kampanye phishing yang bertujuan menyebarkan ransomware Conti. Selain itu, Tim Tanggap Darurat Komputer (CERT) Prancis juga pernah menandai TA551 sebagai kolaborator dalam operasi ransomware Lockean, membantu afiliasi mereka untuk menjatuhkan muatan ransomware ProLock, Egregor, dan DoppelPaymer pada perangkat yang sebelumnya telah diinfeksi oleh trojan perbankan Qbot/QakBot.
