Ekosistem ransomware memang dikenal dengan ketidakpercayaan dan persaingan yang tajam, tetapi konflik terbaru telah membawa perang antar kriminalitas ke wilayah yang belum pernah dijelajahi sebelumnya. Sebuah grup cybercrime bernama 0APT mengancam akan membeberkan identitas individu yang terlibat dalam operasi ransomware saingannya, Krybit.
Dalam sebuah postingan blog yang bocor, 0APT memberikan ultimatum yang cukup mengejutkan bagi sesama penjahatnya. “Jika grup ini tidak melakukan pembayaran atau menghubungi kami, kami akan mengungkap foto identitas, nama, lokasi, dan banyak lagi,” bunyi postingan tersebut.
Model Ekstorsi Ganda
Ancamannya juga menyertakan tawaran tak terduga yang ditujukan kepada korban asli Krybit: “Dan jika kamu adalah salah satu korban mereka, hubungi kami untuk mendapatkan data kamu tidak terkunci.” 0APT menggunakan model ekstorsi ganda yang mengandalkan ancaman kerusakan reputasi untuk menekan korban agar membayar tebusan.
Namun, kekuatan tawar ini hampir sepenuhnya menguap saat targetnya adalah grup ransomware lain, karena perusahaan kriminal tidak memiliki reputasi yang sah untuk dilindungi. Para peneliti keamanan siber mencatat bahwa taktik ini kehilangan banyak kekuatannya dalam konteks ini, tetapi 0APT tampaknya tetap melanjutkan dengan mengikuti pola yang konvensional.
Grup ini membocorkan sebagian kecil data yang diduga dicuri dari Krybit sebagai peringatan, dan telah mengancam untuk melakukan pengumuman penuh jika tidak ada pembayaran yang diterima. Eric Taylor, pemilik Barricade Cyber Solutions di Carolina Selatan, telah menganalisis sedikit berkas Krybit yang telah dirilis oleh 0APT.
Timnya menemukan kredensial plaintext yang dimiliki oleh operator dan afiliasi Krybit, bersama dengan lima alamat dompet cryptocurrency. Menariknya, tim tersebut tidak menemukan bukti adanya tebusan yang dibayarkan kepada Krybit, menunjukkan bahwa grup tersebut mungkin tidak seberhasil klaim publik mereka.
Saat ini, situs web Krybit tidak dapat diakses, digantikan dengan halaman yang menyatakan: “Semua akan kembali berjalan dengan segera. Kami mohon maaf atas ketidaknyamanan ini.” Jenis persaingan antar rival ini tidak sepenuhnya tanpa preseden. Pada 2025, sebuah grup bernama DragonForce menyerang grup pesaing BlackLock dan Mamona dengan merusak situs web mereka dan membocorkan komunikasi internal.
DragonForce juga dikabarkan mengambil alih dan kemudian menutup operasi mantan raja ransomware RansomHub pada bulan April tahun lalu setelah sebulan pertikaian.
Perusahaan keamanan Halcyon mencatat bahwa 0APT “menjadi ancaman yang nyata” dan menunjukkan “kedalaman teknis yang kredibel,” meskipun pada 48 jam pertama setelah muncul, grup ini sudah memposting daftar ratusan korban yang hampir pasti berisi klaim yang dibesar-besarkan. Bagi organisasi yang telah dienkripsi oleh Krybit, konflik saat ini memberikan kesempatan yang tidak biasa.
Korban sebaiknya memastikan bahwa catatan log firewall dan data lalu lintas jaringan mereka dipertahankan, karena ini dapat mengandung bukti serangan. Meskipun 0APT tampaknya menawarkan jalan keluar untuk korban Krybit, tetap perlu berhati-hati karena mereka juga adalah penjahat siber.
Apakah 0APT benar-benar memiliki kunci dekripsi untuk korban Krybit tetap belum terbukti, dan mempercayakan satu grup kriminal untuk menyelamatkan kamu dari grup lainnya tentunya mengandung risiko yang jelas. Situasinya luar biasa, tetapi jalan teraman bagi para korban tetap bergantung pada pertahanan profesional daripada penyerang saingan.
