(Source: CheckPoint)
Ekosistem ransomware mengalami perubahan yang cepat dan signifikan. Check Point Research menemukan adanya malware yang dihasilkan oleh AI, kepercayaan terhadap dekripsi yang menurun, munculnya kartel yang didukung afiliasi, dan lanskap ancaman yang terfragmentasi sehingga sulit dilacak. Situasi ini menyoroti perlunya pemahaman baru tentang cara kerja ransomware di era modern.
Salah satu perubahan utama adalah AI kini tidak lagi bersifat teoretis dalam serangan ransomware. Pada tahun 2025, kelompok ransomware sudah mengoperasionalkan AI. Check Point Research mengamati kampanye nyata yang menggunakan AI generatif untuk konten phishing, pengaburan kode, dan peniruan identitas korban. AI ini berfungsi sebagai pengganda kekuatan bagi para penjahat siber, menghilangkan hambatan masuk dan mengurangi ketergantungan pada pengembang berketerampilan tinggi.
Bahkan, beberapa kelompok ransomware sudah mulai menawarkan layanan inovatif yang didukung AI. Contohnya, Global Group juga dikenal sebagai El Dorado atau Blacklock mengiklankan dukungan negosiasi bertenaga AI sebagai bagian dari penawaran Ransomware-as-a-Service (RaaS). Alat AI ini dipercaya membantu penyerang menyempurnakan taktik negosiasi mereka untuk mendapatkan pembayaran tebusan yang lebih tinggi. Selain itu, ada juga kelompok seperti Qilin yang menggunakan alat dan layanan pemerasan baru, termasuk menawarkan bantuan hukum untuk meninjau data yang dicuri.
Afiliasi Ke Alat Canggih DragonForce
Model bisnis ransomware juga mengalami profesionalisasi dan desentralisasi. Kelompok DragonForce telah memelopori model yang mereka sebut kartel ransomware. Berbeda dengan operasi RaaS tradisional, DragonForce memungkinkan afiliasi untuk beroperasi secara semi-independen. Afiliasi mendapatkan akses ke alat canggih DragonForce, namun bebas menjalankan kampanye mereka sendiri, memilih target, dan menyesuaikan taktik pemerasan. Ini adalah pendekatan seperti waralaba yang membuat penjatuhan kelompok lebih sulit dan atribusi menjadi lebih tidak jelas.
Di sisi lain, ada kabar baik bagi para pembela siber. Tingkat pembayaran ransomware global telah menurun sebesar 25–27% untuk pertama kalinya. Penurunan ini didorong oleh beberapa faktor, yaitu ketahanan yang meningkat karena banyak organisasi berinvestasi pada cadangan dan respons insiden, ketidakpercayaan korban terhadap janji penyerang, dan tekanan kebijakan pemerintah yang mengusulkan atau menegakkan larangan pembayaran tebusan.
Meskipun tingkat pembayaran menurun, ransomware tidak akan hilang. Sebaliknya, para penyerang terus memodifikasi metode mereka. Mereka beralih dari sekadar enkripsi menjadi pemerasan dengan cara apa pun, seperti pemerasan tiga kali lipat, pelelangan data curian di dark web, dan serangan reputasi. Selain itu, dominasi ransomware tidak lagi terpusat pada beberapa kelompok besar. LockBit mengalami kemunduran, sementara kelompok-kelompok lain pecah menjadi aktor-aktor baru yang menggunakan codebase dan alat yang bocor. Hal ini membuat atribusi menjadi lebih sulit dan deteksi tertunda.
Untuk tetap berada di depan ransomware pada tahun 2025, para pemimpin keamanan harus mengambil langkah-langkah proaktif. Mereka perlu mengadopsi arsitektur keamanan yang terhubung yang mengintegrasikan perlindungan endpoint, jaringan, dan identitas. Menerapkan anti phishing pada skala besar, termasuk kesadaran pengguna dan analitik perilaku untuk mendeteksi umpan yang dihasilkan AI, juga sangat penting. Mereka disarankan untuk menggunakan tipuan dan threat hunting untuk mengungkap aktivitas afiliasi sejak dini, serta menguji pemulihan cadangan secara teratur.
