Silent Ransom Group Incar Firma Hukum AS: Lancarkan Aksi Pemerasan Lewat Telepon Dukungan TI Palsu

Kelompok peretas bermotif pemerasan (extortion gang) Silent Ransom Group dilaporkan tengah gencar melancarkan serangan siber yang menargetkan berbagai firma hukum dan organisasi jasa profesional di Amerika Serikat. Berdasarkan laporan terbaru dari perusahaan keamanan siber Mandiant, serangan berbasis rekayasa sosial (social engineering) ini sangat agresif dan mampu menguras data sensitif korban hanya dalam hitungan jam sejak kontak pertama.

Laporan Mandiant ini memperkuat peringatan darurat (FLASH advisory) yang dirilis oleh FBI pekan lalu. FBI memperingatkan bahwa kelompok ini tidak hanya menyerang secara digital, melainkan juga mulai berani melakukan aksi pencurian data secara langsung di lokasi fisik kantor korban (in-person data theft).

Profil Aktor Kompromi: Transisi dari Geng Ransomware Menuju Data-Theft Extortion

Kelompok penyerang ini dilacak oleh para peneliti siber dengan beberapa nama, seperti UNC3753, Luna Moth, dan Chatty Spider.

• Rekam Jejak: Kelompok ini telah aktif setidaknya sejak tahun 2022 dan awalnya merupakan bagian dari sindikat kejahatan siber raksasa Ryuk dan Conti. Mereka dulunya berperan sebagai penyedia jalur akses awal (initial access) melalui kampanye callback phishing bernama BazarCall.
• Perubahan Taktik: Setelah sindikat Conti bubar pada tahun 2022, kelompok ini memisahkan diri dan berganti nama menjadi Silent Ransom Group. Menariknya, mereka kini tidak lagi mengandalkan enkripsi ransomware tradisional (mengunci file sistem), melainkan murni berfokus pada pemerasan berbasis pencurian data (data-theft extortion). Mereka mencuri dokumen sensitif lalu mengancam akan membocorkannya ke publik jika korban menolak membayar tebusan.

Alur Serangan: Manipulasi Psikologis “Callback Phishing”

Mandiant mencatat puluhan organisasi di sektor hukum, keuangan, dan profesional telah menjadi korban sepanjang periode Januari hingga Mei 2026. Alur serangan yang mereka gunakan sangat rapi dan terstruktur:

[Email Faktur Palsu] 
       │ (Tanpa link/lampiran berbahaya, hanya nomor telepon bantuan)
       ▼
[Korban Menelepon Peretas] 
       │ (Taktik Callback Phishing / Vishing)
       ▼
[Sesi Remote Support Palsu] 
       │ (Impersonasi TI lewat Teams/Zoom/Quick Assist)
       ▼
[Instalasi Alat RMM & Eksfiltrasi]
       │ (Pemasangan AnyDesk/Zoho; Data dikuras pakai WinSCP/Rclone)
       ▼
[Surat Pemerasan Kilat] (Dikirim 30 menit pasca-serangan dengan tenggat 3 hari)

1. Umpan Email Jinak (Precursor Phishing)

Serangan dimulai dengan pengiriman email bertema tagihan/faktur (invoice) palsu dari akun email konsumen biasa. Email ini sengaja dirancang bersih tanpa tautan (link) ataupun lampiran (attachment) berbahaya agar lolos dari deteksi filter keamanan email korporat. Di dalam email tersebut, peretas menyisipkan instruksi darurat yang meminta korban menghubungi nomor telepon layanan bantuan (helpdesk) yang tertera jika merasa tidak melakukan transaksi tersebut.

2. Panggilan Telepon dan Sesi Kendali Jarak Jauh

Saat karyawan korban menelepon nomor tersebut (taktik callback phishing atau vishing), peretas yang terlatih secara psikologis akan menyamar sebagai staf TI internal perusahaan. Mereka kemudian meyakinkan karyawan untuk bergabung ke dalam sesi dukungan jarak jauh melalui aplikasi legal seperti Microsoft Teams, Zoom, Quick Assist, atau Microsoft Terminal Services.

3. Instalasi Alat RMM dan Penghapusan Jejak Forensik

Di tengah sesi tersebut, peretas mengelabui korban agar mengunduh dan menginstal aplikasi pemantauan jaringan legal (Remote Monitoring and Management/RMM) seperti AnyDesk, Zoho Assist, Bomgar, atau SuperOps.

Guna meminimalisir jejak digital (forensic artifacts) pada riwayat peramban (browser history) atau log obrolan internal perusahaan, peretas mengirimkan tautan instalasi dan perintah eksekusi menggunakan layanan pesan yang bisa hancur otomatis, privnote[.]com.

Untuk mendukung operasinya, peretas membuat domain-domain phishing yang meniru portal TI internal perusahaan dengan pola penamaan seperti:

• <nama_organisasi>-itdesk[.]com
• <nama_organisasi>-it[.]com
• <nama_organisasi>-helpdesk[.]com

Eksfiltrasi Data Menggila dan Surat Ancaman Kilat

Setelah berhasil menanamkan kaki di dalam jaringan, peretas langsung menguras dokumen hukum dan keuangan yang bernilai tinggi, seperti dokumen merger dan akuisisi (M&A), rahasia dagang klien, laporan regulasi, rekaman pajak, hingga Nomor Jaminan Sosial (SSN). Mereka menargetkan platform manajemen dokumen dan penyimpanan berbasis cloud, lalu mengeksfiltrasi data tersebut menggunakan alat transfer file seperti WinSCP atau Rclone.

Operasi pemerasan kelompok ini terhitung sangat agresif. Hanya dalam waktu 30 menit setelah peretas selesai menyedot data dan keluar dari jaringan korban, surat pemerasan sudah mendarat di email perusahaan.

Detail Isi Surat Pemerasan: Peretas memberikan tenggat waktu yang sangat ketat, yaitu 3 hari bagi organisasi untuk merespons dan memulai negosiasi tebusan. Jika korban bungkam, peretas mengancam akan menghubungi dan mengirimkan email secara langsung kepada para karyawan serta klien eksternal firma hukum tersebut untuk mengabarkan bahwa data mereka telah bocor. Surat tersebut sengaja menekankan bahwa kebocoran ini akan menghancurkan reputasi perusahaan, mengundang denda regulasi yang masif, hingga memicu tuntutan hukum dari para klien akibat kelalaian dalam penanganan data.

FBI Peringatkan Adanya Ancaman Fisik (In-Person Attacks)

Laporan ini juga menyoroti temuan FBI yang menyatakan bahwa Silent Ransom Group mulai menerapkan metode serangan hibrida secara fisik. Peretas dilaporkan mencoba berpura-pura menjadi staf TI internal melalui telepon atau email, kemudian mendatangi kantor firma hukum secara langsung. Di lokasi, mereka mencoba mendapatkan akses fisik ke komputer target untuk melakukan penggandaan data (imaging) atau membuat cadangan (backup) palsu sambil diam-diam menyalin file sensitif ke perangkat penyimpanan eksternal.

Infrastruktur Tersembunyi Lewat Metode “Fast-Flux”

Laporan terpisah dari perusahaan siber Resecurity mengungkap bahwa Silent Ransom Group menggunakan infrastruktur jaringan canggih berbasis DNS Fast-Flux untuk menyembunyikan situs web tempat pembocoran data mereka (leak site) yang beralamat di business-data-leaks[.]com.

Metode fast-flux ini bekerja dengan cara merotasi alamat IP domain secara konstan dan cepat menggunakan ribuan perangkat yang telah terinfeksi di seluruh dunia. Infrastruktur ini memanfaatkan jaringan proksi perumahan (residential proxies) yang tersebar di wilayah Amerika Latin, Eropa Timur, Asia Tengah, Timur Tengah, hingga Asia, sehingga mempersulit aparat penegak hukum untuk melacak lokasi asli server peretas atau melakukan pemblokiran (takedown).

Panduan Mitigasi untuk Organisasi dan Firma Hukum

Mengingat firma hukum menyimpan repositori data terkonsentrasi yang sangat sensitif, FBI dan Mandiant merekomendasikan langkah pertahanan ketat berikut:

1. Prosedur Verifikasi Ketat: Terapkan kebijakan verifikasi berlapis bagi setiap interaksi dukungan TI. Jangan pernah memercayai instruksi TI yang meminta panggilan balik ke nomor eksternal tanpa konfirmasi lewat saluran internal resmi.
2. Batasi Alat Remote (RMM): Blokir atau batasi penggunaan aplikasi kendali jarak jauh (seperti AnyDesk, Zoho, dll.) di tingkat jaringan, kecuali aplikasi yang secara resmi dikelola oleh tim TI internal.
3. Wajibkan MFA & Batasi USB: Terapkan Otentikasi Multi-Faktor (MFA) yang kuat di seluruh akun dan batasi penggunaan perangkat penyimpanan USB eksternal untuk mencegah pencurian data secara fisik di area kantor.
4. Pelatihan Vishing Karyawan: Latih seluruh staf organisasi untuk mengenali tanda-tanda penipuan berbasis suara (voice phishing/vishing) dan metode callback phishing.

Sumber: Laporan Analisis Ancaman Mandiant 2026 / FBI FLASH Advisory