Daftar Masuk Dashboard

Peringatan Ancaman

Gentlemen Ransomware: Ancaman Double-Extortion Baru yang Mengincar Berbagai Sektor
Peringatan Ancaman Pengarang : MR 17 Des 2025 09:08

Gentlemen ransomware muncul sebagai salah satu geng pemeras data baru yang cukup agresif dengan model double extortion: data korban dienkripsi sekaligus dicuri, lalu pelaku mengancam akan membocorkan informasi sensitif jika tebusan tidak dibayar. Kampanye ini sudah menargetkan berbagai sektor seperti manufaktur, konstruksi, kesehatan, hingga asuransi di banyak negara, menunjukkan bahwa pelaku tidak fokus pada satu wilayah atau industri saja.

Cara kerja dan karakteristik teknis

Gentlemen ransomware ditulis menggunakan bahasa pemrograman Go, yang dikenal portabel dan efisien. Sebelum beraksi, malware ini memeriksa parameter command-line tertentu (termasuk password wajib) agar hanya berjalan di lingkungan yang diinginkan dan lebih sulit dianalisis di sandbox otomatis. Setelah aktif, ransomware akan:

  • Menonaktifkan proteksi keamanan seperti Windows Defender.

  • Menghentikan layanan backup dan database.

  • Menghapus log sistem untuk menghambat forensik dan deteksi dini.

Untuk enkripsi, Gentlemen menggunakan kombinasi X25519 (elliptic-curve key exchange) dan XChaCha20 sebagai algoritma enkripsi, dengan kunci unik per korban untuk mencegah pemulihan tanpa bantuan pelaku. File kecil akan dienkripsi penuh, sementara file besar hanya sebagian, sehingga tetap rusak tetapi proses enkripsi lebih cepat dan sulit terdeteksi.

Taktik serangan dan penyebaran

Gentlemen mengikuti pola operasi ransomware modern yang terstruktur:

  • Initial access:

    • Phishing dengan lampiran berbahaya (T1566.001).

    • Eksploitasi aplikasi yang menghadap internet (T1190).

  • Eksekusi & eskalasi:

    • Menjalankan skrip/command (T1059, T1106).

    • Mengeksploitasi celah untuk naik hak akses (T1068).

  • Defense evasion & persistensi:

    • Mengubah/ mematikan tool keamanan (T1562.001).

    • Menghapus Windows Event Logs (T1070.001).

    • Menambah entri Registry Run Keys / Startup (T1547.001).

  • Credential access & lateral movement:

    • Dump kredensial dari memori LSASS (T1003.001).

    • Pergerakan lateral via SMB / Windows Admin Shares (T1021.002).

Setelah menguasai jaringan, pelaku:

  • Mengumpulkan informasi sistem dan layanan jaringan (T1082, T1046).

  • Mengekfiltrasi data sensitif melalui kanal C2 terenkripsi (T1041, T1071.001).

  • Mengenkripsi data untuk impact (T1486) dan menghambat pemulihan (T1490).

Strategi pemerasan dan tekanan psikologis

Seperti geng ransomware lain, Gentlemen meninggalkan ransom note yang biasanya mengklaim:

  • Mereka telah menguasai seluruh jaringan.

  • Data sensitif akan dipublikasikan jika tebusan tidak dibayar.

  • Korban bisa mengirim beberapa file untuk “uji decrypt” gratis sebagai bukti bahwa pelaku benar‑benar memiliki kunci.

Pendekatan ini menambah tekanan psikologis ke korban agar segera membayar, terutama jika data yang dicuri berkaitan dengan pelanggan, rahasia dagang, atau informasi medis.

Rekomendasi untuk organisasi

Untuk mengurangi risiko dan dampak serangan Gentlemen ransomware, organisasi disarankan:

  • Pertahanan berlapis (defense in depth)

    • Gunakan EDR/antivirus dengan kemampuan deteksi perilaku (service kill, log clearing, enkripsi massal).

    • Terapkan segmentasi jaringan dan batasi akses lateral.

  • Pengelolaan hak akses & kredensial

    • Terapkan least privilege untuk akun admin dan service.

    • Aktifkan MFA untuk akun penting dan lindungi domain admin.

  • Backup dan pemulihan

    • Pastikan ada backup offline / immutable yang rutin diuji restore‑nya.

    • Pisahkan infrastruktur backup dari domain produksi utama.

  • Monitoring & respons dini

    • Pantau eksekusi proses mencurigakan, perubahan konfigurasi keamanan, dan penghapusan log.

    • Siapkan playbook incident response khusus ransomware (isolasi host, triage, kontak CSIRT, dsb.).

Status pada lingkungan pelanggan

Berdasarkan indikator kompromi (IoC) yang tersedia, tidak ditemukan kecocokan dengan endpoint pelanggan pada saat pemeriksaan dilakukan. Meski demikian, mengingat teknik dan pola serangan yang digunakan sangat mirip dengan ransomware modern lain, peningkatan kewaspadaan dan penguatan kontrol tetap sangat dianjurkan.

Referensi

  • CyberSecurityNews – “New Gentlemen Ransomware Breaching Corporate Networks to Exfiltrate and Encrypt Sensitive Data” (detail teknis kampanye dan teknik double‑extortion).

Bagikan
Kembali ke list
Berita Lainnya

MR 05 Agt 2025 14:35

Waspada! Serangan Malware Fileless Terbaru: APT37 Sembunyikan Virus Lewat File Shortcut dan Gambar

Selengkapnya

MR 09 Jan 2026 09:41

Waspada! Worm WhatsApp Baru Sebar Trojan Astaroth untuk Curi Data Perbankan

Selengkapnya

MR 06 Jan 2026 12:32

Kerentanan Baru di n8n (CVSS 9,9) Izinkan Eksekusi Perintah Sistem oleh Pengguna Terautentikasi

Selengkapnya
Logo

KOMDIGI-CSIRT

Cyber Security Incident Response Team
HEADQUARTERS

Jl. Medan Merdeka Barat No. 9, Jakarta Pusat 10110

NAVIGATIONS
Informasi Kerentanan Informasi Tahunan Agenda FAQ Hubungi Kami
SERVICES
Main Services Other Services
CONNECT
Email Us csirt@komdigi.go.id
Call Us 0851-5000-2021
© 2026 KOMDIGI CSIRT. All Rights Reserved.
Privacy Policy Terms of Use