(Source: Veeam)
Bagi banyak organisasi, skenario terburuk adalah ketika telah membayar tebusan tetapi data mereka tetap hancur. Kejadian ini tidak selalu karena niat jahat, tetapi sering kali disebabkan oleh alat yang rusak atau kurangnya keahlian. Ketika para pengembang ransomware terlibat dalam konflik internal, mereka sering mencuri atau membocorkan alat-alat satu sama lain. Akibatnya, alat-alat ini sering jatuh ke tangan para kriminal yang tidak memiliki keahlian teknis untuk mengimplementasikannya dengan benar. Hal ini menciptakan situasi di mana mereka berhasil meluncurkan serangan, tetapi tidak dapat mendekripsinya kembali, bahkan jika berniat menghormati pembayaran tebusan.
Kebocoran ransomware VanHelsing adalah studi kasus yang menunjukkan masalah ini. Kasus ini membuktikan mengapa strategi bayar dan pulihkan tidak realistis. Ini menyoroti mengapa ketahanan data yang sesungguhnya bergantung pada cadangan yang aman dan andal serta kesiapan menghadapi insiden, bukan pada janji para penjahat. Kasus ini juga menyoroti kebutuhan perusahaan untuk melibatkan firma respons insiden yang memiliki kemampuan untuk melihat masalah ini sebelum keputusan untuk membeli alat dekripsi dari penjahat siber dibuat.
Apa itu Ransomware VanHelsing
VanHelsing adalah contoh yang relatif baru tentang bagaimana Ransomware as a Service (RaaS). Diluncurkan pada Maret 2025, VanHelsing dengan cepat menjadi pilihan bagi para pelaku ancaman yang tidak memiliki keterampilan atau kesabaran untuk mengembangkan malware mereka sendiri. Model operasi ini menyediakan infrastruktur ransomware yang sudah jadi, lalu merekrut affiliate untuk melakukan serangan dengan imbalan sebagian dari tebusan. Para affiliate tidak memerlukan keterampilan pengkodean, pengetahuan enkripsi, atau sumber daya yang signifikan, mereka hanya perlu akses ke layanan tersebut.
Operasi VanHelsing memiliki karakteristik utama seperti dukungan platform yang luas, termasuk sistem Windows, Linux, BSD, ARM, dan ESXi. Selain itu, operasi ini menargetkan sistem VMware ESXi yang menjadi pusat bagi banyak lingkungan perusahaan, sehingga serangan ini dapat melumpuhkan seluruh lini bisnis sekaligus. Hal ini membuat organisasi lebih mungkin untuk membayar permintaan tebusan. VanHelsing mencerminkan tren yang lebih luas dalam ransomware, yaitu komoditisasi, di mana penyerang dengan keterampilan rendah dapat meluncurkan serangan yang sangat merusak dengan sedikit usaha.
Kebocoran VanHelsing dimulai ketika salah satu pengembangnya mencoba menjual kode sumber grup tersebut di forum kejahatan siber. Para operator inti VanHelsing yang marah, membalas dengan membocorkan kode sumber itu sendiri di forum yang sama untuk menyabotase penjualan tersebut. Analisis teknis pada kode yang bocor menunjukkan beberapa detail yang mengganggu yaitu file proyek Visual Studio disimpan secara sembarangan, codebase tidak lengkap dan tidak terorganisir, dan enkriptor dapat berfungsi sepenuhnya secara offline tanpa terhubung ke panel affiliate.
Penyebar Ransomware Bukan Perusahaan Kriminal
Banyak kelompok ransomware bukanlah perusahaan kriminal yang disiplin dengan praktik rekayasa perangkat lunak yang baik. Mereka sering kali adalah jaringan individu yang longgar, dan perselisihan internal dapat menyebar ke publik, meninggalkan kode yang rusak dan berbahaya untuk siapa saja yang ingin menggunakannya kembali. Kebocoran ransomware seperti Babuk di tahun 2021, Conti di tahun 2022, dan LockBit di tahun 2022 telah berulang kali mengubah cara permainan dimainkan dengan menempatkan alat yang kuat ke tangan yang lebih banyak.
Ini membawa kita pada pelajaran paling penting dari kasus VanHelsing yaitu risiko kehancuran data yang tidak dapat diperbaiki, bahkan dalam skenario di mana korban membayar tebusan. Kode enkriptor VanHelsing ternyata cacat, terutama dalam cara menangani lingkungan server berskala besar seperti VMware ESXi. Cacat ini menyebabkan ransomware menulis data terenkripsi ke lokasi yang salah, menimpa data yang belum dienkripsi. Akibatnya, terjadi kerusakan permanen pada file yang tidak dapat diperbaiki, bahkan oleh alat dekripsi yang benar. Organisasi tidak dapat mengandalkan profesionalisme atau kejujuran pelaku ancaman, dan mereka tentu tidak dapat mengandalkan kompetensi teknis mereka.
