AS sita Rp7,5 miliar dana curian dari peretas Korea Utara

Joe Tidy

Reporter siber

Departemen Kehakiman AS menyita Bitcoin senilai US$500.000, atau setara Rp7,5 miliar, dari tersangka peretas Korea Utara yang melakukan serangan siber terhadap layanan kesehatan di AS.

Para peretas itu melakukan serangan siber ke layanan kesehatan di AS dengan jenis ransomware baru, kemudian memeras dana dari sejumlah organisasi.

Pihak berwenang di AS mengatakan mereka telah mengembalikan pembayaran uang tebusan kepada dua rumah sakit yang menjadi sasaran serangan siber.

Penyitaan hasil dari peretasan ini jarang terjadi sebelumnya.

Aksi tegas otoritas AS ini terjadi bersamaan dengan peringatan AS bahwa Korea Utara kini menjadi pelaku utama ancaman ransomware.

Baca juga:

Dalam konferensi pers yang digelar Selasa (20/07), Wakil Jaksa Agung AS Lisa O Monaco mengapresiasi sebuah rumah sakit di Kansas— yang tidak disebutkan namanya— karena telah memberi peringatan dini kepada Biro Investigasi Federal AS (FBI) tentang serangan siber tersebut.

"Ini tidak hanya memungkinkan kami mengembalikan pembayaran uang tebusan mereka dan uang tebusan yang telah dibayarkan oleh korban sebelumnya yang tidak dikenal, tetapi kami juga dapat mengidentifikasi jenis ransomware yang sebelumnya tidak teridentifikasi," katanya.

Peretas menyasar rumah sakit

Menurut dokumen pengadilan, peretas menggunakan jenis ransomware yang dinamai Maui untuk mengenkripsi dokumen dan server pusat medis di Kansas pada Mei 2021.

Biasanya, peretas akan menggunakan perangkat lunak berbahaya untuk mengacak data atau membuat pengguna tidak bisa masuk ke dalam sistem, hingga uang tebusan dibayarkan.

Serangan ransomware ini membuat rumah sakit di Kansas itu tak bisa mengakses sistem teknologi informasinya selama sepekan.

Mereka kemudian memutuskan untuk membayar sekitar US$100.000, atau setara Rp1,5 miliar dalam bentuk Bitcoin, demi mendapatkan kembali akses.

Membayar uang tebusan kepada peretas bukanlah hal yang ilegal, namun hal ini tidak disarankan oleh penegak hukum di seluruh dunia.

Baca juga:

Setelah melakukan pembayaran, rumah sakit langsung memberi tahu FBI tentang transaksi pembayaran tersebut.

Hal ini memungkinkan agen FBI untuk mengidentifikasi ransomware baru yang belum pernah diketahui sebelumnya, yang terkait dengan Korea Utara.

Mereka juga berhasil melacak aliran dana cryptocurrency itu ke perusahaan pencucian uang yang berbasis di China.

Para agen FBI juga berhasil mengidentifikasi transaksi Bitcoin lain sebesar US$120.000 (Rp1,8 miliar) ke sebuah rekening cyptocurrency kriminal.

Transaksi itu ternyata dilakukan oleh fasilitas medis di Colorado yang baru saja membayar uang tebusan setelah juga diretas oleh ransomware Maui.

FBI mengatakan telah mengembalikan uang tebusan itu kepada dua penyedia fasilitas kesehatan, namun mereka tidak menjelaskan lebih lanjut dari mana sisa dana yang mereka sita berasal.

Bagaimana penyitaan terjadi?

Hingga saat ini belum diketahui bagaimana FBI dapat menyita dana tersebut.

Namun Tom Robinson, pendiri dan kepala ilmuwan di Elliptic— yang menganalisis pembayaran Bitcoin— mengatakan kepada BBC bahwa penyitaan itu mungkin terjadi ketika para peretas mencoba menukar Bitcoin mereka ke mata uang tradisional.

“Kemungkinan para penyelidik dapat melacak cryptocurrency ke platform pertukaran mata uang, di mana para pencuci uang akan mengirim dana untuk menguangkan uang kripto tersebut."

"Pertukaran mata uang adalah bisnis yang diatur oleh regulasi dan [platform pertukaran uang] dapat menyita dana pelanggan mereka jika dipaksa untuk melakukannya oleh penegak hukum," jelas Robinson.

Kemungkinan lain, tambah Robinson, cryptocurrency disita langsung dari dompet pencuci uang itu sendiri.

Menurutnya, ini lebih menantang untuk dilakukan karena akan memerlukan akses ke kunci pribadi dompet digital - kode sandi yang memungkinkan cryptocurrency dalam dompet untuk diakses dan dipindahkan.

Pihak berwenang AS kini semakin sering menggunakan taktik baru untuk menyita dana yang diperas dari peretas dunia maya yang beroperasi di Korea Utara dan Rusia, di mana lembaga penegak hukum di negara-negara itu tidak bekerja sama ketika negara-negara Barat meminta bantuan.

"Penyitaan ini masih sangat jarang, dan ini menyoroti nilai pelaporan cepat insiden pemerasan dunia maya, dan bekerja sama dengan penegak hukum," kata Jen Ellis, dari perusahaan keamanan dunia maya Rapid7.

Baca juga:

"Mereka tidak akan dapat mengembalikan pembayaran dalam setiap kasus, tetapi semakin banyak informasi yang mereka miliki tentang taktik, teknik, dan prosedur kelompok peretas, semakin besar kemungkinan mereka untuk dapat mengganggu, menghalangi, dan menanggapi serangan, yang menguntungkan semua orang."

Juni lalu, AS mengembalikan sebagian besar uang tebusan senilai US$4,4 juta (Rp66 miliar) yang dibayarkan oleh Colonial Pipeline kepada geng penjahat dunia maya yang diduga berbasis di Rusia.

Pada November 2021, AS juga mendapatkan kembali US$6 juta (Rp90 miliar) dari geng ransomware lain bernama REvil, yang diduga terkait erat dengan Rusia.

Ransomware Korea Utara

Selain melancarkan aksi mata-mata konvensional, Korea Utara selama bertahun-tahun dituduh mengarahkan peretasan siber yang bertujuan demi menghasilkan uang bagi Pyongyang.

Aktivitas peretasan Korea Utara sering dikaitkan dengan apa yang disebut kelompok peretas Lazarus, yang mengambil US$1 miliar (Rp15 triliun) dari bank Bangladesh pada tahun 2016.

Pada tahun lalu, kelompok yang sama dikaitkan dengan serangan yang menguntungkan pada platform cryptocurrency.

Namun bulan lalu, otoritas AS mengeluarkan peringatan tentang peretas Korea Utara yang meluncurkan serangan ransomware terhadap rumah sakit AS.

Pihak berwenang tidak memberikan bukti bahwa Korea Utara berada di balik serangan itu.

Namun pemeriksaan yang dilakukan terhadap ransomware Maui menyatakan bahwa itu telah "digunakan oleh aktor siber yang disponsori negara Korea Utara, setidaknya sejak Mei 2021, untuk menyasar layanan kesehatan.