Ransomware menjadi salah satu ancaman siber terbesar yang dihadapi oleh berbagai industri. Salah satu varian yang semakin populer dan berbahaya adalah Black Basta. Ransomware ini pertama kali muncul pada April 2022 dan dengan cepat berkembang menjadi ancaman serius bagi berbagai sektor bisnis di seluruh dunia. Black Basta dikenal sebagai bagian dari model Ransomware-as-a-Service (RaaS), yang memungkinkan penjahat siber tanpa infrastruktur sendiri untuk menyewa dan menggunakan ransomware ini dalam serangan mereka.

Target dan Dampak Serangan
Black Basta menyerang berbagai sektor privat sejak awal 2022, termasuk konstruksi, jasa profesional, manufaktur, keuangan, dan media. Keragaman target menunjukkan bahwa semua sektor berisiko menjadi korban.
Black Basta menargetkan berbagai industri, termasuk:
- Konstruksi
- Jasa profesional
- Mode (fashion)
- Manufaktur
- Transportasi
- Keuangan
- Ritel
- Media
Karena cakupan sasarannya yang luas, hampir semua sektor dapat menjadi target di masa mendatang. Black Basta terutama menargetkan negara-negara berbahasa Inggris seperti Amerika Serikat, Inggris, Australia, Kanada, dan Selandia Baru, serta beberapa negara di Eropa Barat.
Dampak Serangan
- Gangguan Operasional: Data terenkripsi menghentikan aktivitas bisnis.
- Pemerasan Ganda (Double Extortion):
- Data dicuri dan diancam dipublikasikan di dark web jika tebusan tidak dibayar.
- Contoh: Data Pendragon bisa bocor ke forum kriminal.
- Kerugian Reputasi: Publikasi data sensitif merusak kepercayaan pelanggan dan mitra.
Tingkat Keparahan
Black Basta memiliki tingkat keparahan tinggi, karena serangannya hampir selalu mengarah pada:
- Enkripsi data sensitif, mengunci akses korban terhadap file mereka.
- Pencurian data, yang digunakan untuk pemerasan finansial.
- Eksposur terhadap ancaman reputasi, di mana data yang tidak ditebus dapat dipublikasikan di dark web.
Salah satu contoh kasus besar adalah serangan terhadap Pendragon, sebuah perusahaan otomotif, yang diminta membayar tebusan sebesar $60 juta (setara dengan £53 juta).
Produk Terdampak
| Sistem Operasi | Keterangan |
| Windows OS | Semua versi rentan. |
| Linux OS & VMware-Linux | Serangan difokuskan pada virtualisasi. |
Metode Penyebaran dan Mekanisme Serangan
Teknik Infiltrasi
Black Basta biasanya menginfeksi sistem melalui spear phishing—email berbahaya yang dirancang untuk mengelabui korban agar mengunduh malware atau mengungkapkan kredensial mereka. Setelah berhasil menginfeksi sistem, ransomware ini akan mengenkripsi file secepat mungkin menggunakan segmentasi 64 dan 128 byte, dengan tujuan mengeksekusi serangan sebelum sistem keamanan mendeteksi aktivitasnya.
Karakteristik Teknis
- Bahasa Pemrograman: C++.
- Sistem Operasi Terdampak: Windows, Linux, dan VMware berbasis Linux.
- Metode Enkripsi: Mengenkripsi data dalam segmen 64/128 byte untuk mempercepat proses sebelum terdeteksi.
- Akses Awal: Spear-phishing sebagai vektor utama.
Sistem yang Terpengaruh
Black Basta dirancang untuk menyerang berbagai sistem operasi, termasuk:
- Windows OS
- Linux OS dan lingkungan berbasis VMware
Strategi Pemerasan
Black Basta menggunakan teknik double extortion, yang berarti mereka tidak hanya mengenkripsi data korban, tetapi juga mengancam untuk membocorkannya secara publik jika tebusan tidak dibayarkan.
Deteksi dan Indikator Kompromi
Deteksi Kerentanan
- EDR (Endpoint Detection and Response): Solusi seperti Microsoft Defender dapat mendeteksi aktivitas mencurigakan sebelum ransomware menyebar.
- Tanda Serangan: File Readme.txt muncul sebagai catatan tebusan.
Salah satu tanda pertama serangan Black Basta adalah kemunculan catatan tebusan berjudul Readme.txt. Untuk mendeteksi adanya infeksi, organisasi dapat mengandalkan solusi Endpoint Detection and Response (EDR) seperti Microsoft Defender.
Beberapa indikator kompromi yang terkait dengan Black Basta antara lain:
- File hash SHA-256 terkait:
- 17205c43189c22dfcb278f5cc45c2562f622b0b6280dcd43cc1d3c274095eb90
- 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
- 7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a
- File hash MD5 terkait:
- 8917af3878fa49fe4ec930230b881ff0ae8d19c9
- a996ccd0d58125bf299e89f4c03ff37afdab33fc
- Alamat IP terkait:
- 23[.]106[.]160[.]188
- File yang dibuat oleh malware:
- %Temp%\fkdjsadasd.ico
- %Temp%\dlaksjdoiwq.jpg
- Proses yang dijalankan oleh ransomware:
- cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
- cmd.exe /c C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
- Kunci Registry yang dibuat:
- HKEY_CLASSES_ROOT.basta
Strategi Pencegahan dan Mitigasi
Untuk melindungi sistem dari serangan Black Basta, organisasi disarankan untuk menerapkan langkah-langkah berikut:
- Pelatihan Karyawan terhadap Spear Phishing
- Karena Black Basta sering menggunakan spear phishing, organisasi perlu memberikan pelatihan bagi karyawan agar dapat mengenali email mencurigakan.
- Implementasi Endpoint Detection and Response (EDR)
- Solusi EDR seperti Microsoft Defender dapat mendeteksi dan menghentikan aktivitas ransomware sebelum menyebabkan kerusakan besar.
- Backup Data Secara Berkala
- Menyimpan cadangan data secara rutin, termasuk menyimpan salinan offline, akan membantu organisasi pulih lebih cepat setelah serangan.
- Pemantauan Jaringan untuk Tanda-tanda Kompromi
- Aktivitas mencurigakan seperti akses tidak sah, enkripsi file yang tidak biasa, atau penghapusan bayangan salinan data harus segera diinvestigasi.
- Penerapan Prinsip Zero Trust Security
- Menggunakan model keamanan Zero Trust memastikan bahwa setiap akses ke sistem diverifikasi secara ketat, mengurangi kemungkinan eksploitasi.
Lanskap Ancaman dan Prospek Masa Depan
Ransomware Black Basta semakin populer di kalangan aktor ancaman. Pada Oktober 2022, Black Basta tercatat sebagai varian ransomware ketiga yang paling banyak digunakan. Mengingat permintaan tebusan yang semakin tinggi dan peningkatan serangan terhadap perusahaan besar, kemungkinan besar tren ini akan terus berlanjut.
Lanskap Ancaman
- Peringkat Global: Black Basta menjadi ransomware ketiga paling aktif pada Oktober 2022.
- Target Geografis: Fokus pada negara berbahasa Inggris (AS, Inggris, Australia) dan Eropa Barat.
- Prediksi: Ancaman akan terus meningkat seiring adopsi model Ransomware as a Service (RaaS).
Profil Grup Ancaman
- Taktik: Pemerasan ganda (double extortion) untuk meningkatkan tekanan pada korban.
- Profil Pelaku: Diduga terdiri dari cyber criminal berpengalaman dengan pengetahuan mendalam tentang taktik ransomware.
Kelompok Penyerang dan Teknik MITRE ATT&CK
Black Basta diyakini dikembangkan oleh kelompok kriminal siber yang sudah berpengalaman. Beberapa teknik MITRE ATT&CK yang digunakan dalam serangan mereka meliputi:
- Akses Awal:
- T1078 – Valid Accounts
- T1566.001 – Spear-phishing Attachment
- Eksekusi:
- T1059 – Command and Scripting Interpreter
- T1047 – Windows Management Instrumentation
- Eskalasi Hak Istimewa:
- T1078 – Valid Accounts
- Penyembunyian Jejak:
- T1112 – Modify Registry
- T1027 – Obfuscate Files or Information
- Pencurian Kredensial:
- T1003 – OS Credential Dumping
- Eksfiltrasi Data:
- T1567 – Exfiltration Over Web Service
- T1041 – Exfiltration Over C&C Channel
- Dampak Serangan:
- T1490 – Inhibit System Recovery
- T1486 – Data Encrypted for Impact
Metodologi MITRE ATT&CK
| Taktik | Teknik | ID |
| Initial Access | Spear-phishing Attachment | T1566.001 |
| Execution | Command and Scripting Interpreter | T1059 |
| Defense Evasion | Obfuscate Files or Information | T1027 |
| Discovery | File and Directory Discovery | T1083 |
| Impact | Data Encrypted for Impact | T1486 |
Rekomendasi Tambahan
- Segmentasi Jaringan: Pisahkan sistem kritis dari jaringan umum.
- Zero Trust Architecture: Batasi akses berdasarkan prinsip least privilege.
- Pemantauan Log: Lacak aktivitas mencurigakan seperti modifikasi registry atau penghapusan shadow copies.
Black Basta merupakan ancaman serius dengan dampak finansial dan reputasi yang masif. Organisasi harus memprioritaskan:
- Pelatihan kesadaran keamanan.
- Implementasi EDR dan backup offline.
- Pemantauan proaktif terhadap IoC.
Black Basta adalah ransomware yang semakin berbahaya dan menargetkan berbagai sektor industri. Dengan metode double extortion, kelompok peretas di balik Black Basta tidak hanya mengenkripsi data korban tetapi juga mengancam akan membocorkannya jika tuntutan tebusan tidak dipenuhi. Untuk menghadapi ancaman ini, organisasi perlu menerapkan strategi keamanan siber yang lebih ketat, termasuk pelatihan karyawan, pemantauan jaringan, dan implementasi sistem deteksi dini seperti EDR. Dengan langkah-langkah ini, risiko terhadap ransomware Black Basta dapat dikurangi secara signifikan.









