Pendahuluan
Pada 21 Mei 2025, operasi penegakan hukum global yang melibatkan Europol, FBI, Microsoft, dan mitra lainnya berhasil mengganggu infrastruktur Lumma Stealer, salah satu malware pencuri informasi (infostealer) paling dominan di dunia. Operasi ini menargetkan lebih dari 2.300 domain berbahaya dan panel kontrol yang digunakan oleh Lumma, yang dikenal sebagai Malware-as-a-Service (MaaS) untuk mencuri kredensial, dompet kripto, dan data sensitif lainnya. Meskipun penutupan ini merupakan pukulan besar bagi ekosistem kejahatan siber, Forescout Vedere Labs memperingatkan bahwa ancaman infostealer tidak akan mereda. Blog ini menganalisis dampak penutupan Lumma, potensi kebangkitan Rhadamanthys sebagai pengganti, dan langkah-langkah mitigasi untuk melindungi organisasi dari ancaman serupa.
Latar Belakang Lumma Stealer
Lumma Stealer, juga dikenal sebagai LummaC2, pertama kali muncul pada akhir 2022 dan dengan cepat menjadi infostealer paling populer di kalangan pelaku kejahatan siber karena kemudahan penggunaan dan fitur canggihnya. Dijual melalui model berlangganan bulanan di forum bawah tanah dan Telegram dengan harga mulai dari $250 hingga $20.000, Lumma menargetkan kredensial browser, dompet kripto, dan ekstensi autentikasi dua faktor. Malware ini menggunakan teknik distribusi canggih seperti phishing, malvertising, dan ClickFix—kampanye yang memanfaatkan platform sah seperti Google Drive, GitHub, dan Discord untuk menyebarkan muatan berbahaya.
Fitur teknis Lumma meliputi:
- Bypass AMSI: Mengelabui Anti-Malware Scan Interface untuk menghindari deteksi.
- Obfuskasi Alur Kode: Menyulitkan analisis oleh peneliti keamanan.
- Komunikasi C2 Terenkripsi: Menggunakan protokol WebSocket untuk komunikasi aman dengan server command-and-control (C2).
- Persisten melalui Modifikasi Registri: Memastikan malware tetap aktif setelah reboot sistem.
- DLL Sideloading: Menyisipkan kode berbahaya melalui file DLL yang sah.
Namun, operasi penegakan hukum pada Mei 2025 berhasil menutup sebagian besar infrastruktur Lumma, termasuk 2.300 domain dan lebih dari 90 kanal Telegram serta profil Steam yang digunakan untuk distribusi dan penjualan data curian. Meskipun demikian, laporan dari Check Point Research menunjukkan bahwa server C2 yang dihosting di Rusia masih beroperasi, dan pengembang Lumma mengklaim telah memulihkan operasi mereka.
Kebangkitan Rhadamanthys
Dengan terganggunya Lumma, perhatian beralih ke Rhadamanthys, infostealer canggih yang pertama kali diidentifikasi pada 2022 dan kini berkembang pesat. Dijual dengan harga mulai dari $250 untuk lisensi 30 hari, Rhadamanthys menawarkan fitur inovatif seperti ekstraksi frasa benih (seed phrase) kripto menggunakan kecerdasan buatan (AI) berbasis pengenalan karakter optik (Optical Character Recognition/OCR). Versi 0.7.0, yang dirilis pada September 2024, memperkenalkan kemampuan untuk mengekstrak frasa benih dari gambar, menjadikannya ancaman serius bagi pengguna kripto.
Rhadamanthys juga menggunakan teknik penghindaran deteksi seperti:
- Penyamaran MSI Installer: Menggunakan file Microsoft Software Installer yang dianggap sah untuk menghindari deteksi.
- Mekanisme Penundaan Re-Eksekusi: Menyimpan timestamp terenkripsi di Windows Registry untuk mencegah eksekusi ulang dalam jangka waktu tertentu.
- Komunikasi C2 Terenkripsi: Menggunakan protokol WebSocket dan steganografi untuk menyembunyikan data curian dalam file gambar JFIF.
Rhadamanthys didistribusikan melalui phishing, iklan mesin pencari berbahaya (malvertising), dan perangkat lunak bajakan, sering kali menargetkan Amerika Utara dan Selatan. Pengembangnya, yang dikenal dengan alias “kingcrete2022”, tetap aktif di forum bawah tanah meskipun dilarang karena menargetkan entitas di Rusia dan bekas Uni Soviet.
Dampak Penutupan Lumma dan Potensi Kebangkitan Rhadamanthys
Penutupan Lumma menciptakan kekosongan di pasar infostealer, yang kemungkinan akan diisi oleh alternatif seperti Rhadamanthys atau Acreed, yang dilaporkan telah mengungguli pesaing seperti RedLine dan Vidar setelah penutupan Lumma. Data dari Russian Market menunjukkan bahwa Acreed bertanggung jawab atas lebih dari 4.000 log curian dalam minggu pertama pasca-penutupan, menandakan pergeseran cepat dalam ekosistem kejahatan siber. Namun, Rhadamanthys menonjol karena fitur AI-nya dan kemampuan penyamaran yang canggih, menjadikannya kandidat kuat untuk menggantikan Lumma.
Meskipun penutupan Lumma memberikan dampak operasional dan finansial bagi pelaku kejahatan, laporan menunjukkan bahwa pengembang Lumma berupaya membangun kembali infrastruktur mereka. Taktik psikologis dari penegak hukum, seperti mempublikasikan pesan di kanal Telegram Lumma yang menyatakan bahwa admin dan afiliasi telah bekerja sama dengan pihak berwenang, bertujuan untuk menabur ketidakpercayaan di antara pelaku kejahatan. Namun, keberhasilan jangka panjang penutupan ini bergantung pada kerusakan reputasi Lumma, bukan hanya gangguan teknis.
Ancaman Infostealer yang Lebih Luas
Infostealer seperti Lumma dan Rhadamanthys merupakan ancaman besar karena kemampuan mereka untuk mencuri data sensitif seperti kredensial, dompet kripto, dan token sesi, yang kemudian dijual di pasar bawah tanah seperti Russian Market atau 2easy. Data curian ini sering digunakan untuk serangan lanjutan seperti ransomware, penipuan finansial, atau pelanggaran jaringan perusahaan. Laporan dari IBM X-Force mencatat peningkatan 12% dalam kredensial infostealer yang dijual di dark web pada 2024, dengan Lumma menjadi yang paling dominan sebelum penutupannya.
Kampanye distribusi infostealer semakin canggih, menggunakan teknik seperti:
- Phishing Berbasis CAPTCHA Palsu: Mengelabui pengguna untuk mengunduh malware melalui situs CAPTCHA palsu.
- Perangkat Lunak Bajakan: Menyematkan malware dalam aplikasi seperti ChatGPT atau Vegas Pro.
- Malvertising: Menyuntikkan iklan berbahaya di hasil pencarian untuk perangkat lunak populer seperti Notepad++ atau Chrome.
Organisasi di sektor seperti kesehatan, keuangan, dan pendidikan menjadi sasaran utama karena data sensitif yang mereka miliki. Misalnya, pelanggaran di CircleCI pada 2023 menunjukkan bagaimana infostealer dapat melewati MFA dengan mencuri token sesi browser.
Strategi Mitigasi
Forescout Vedere Labs merekomendasikan beberapa langkah untuk mengurangi ancaman infostealer:
- Terapkan MFA: Aktifkan autentikasi multi-faktor di semua sistem yang mendukungnya untuk mengurangi risiko pencurian kredensial.
- Pemantauan Endpoint: Aktifkan pencatatan endpoint untuk aktivitas proses, file, pengguna, jaringan, registri, driver, dan PowerShell.
- Pemantauan Jaringan: Gunakan pemantauan berkelanjutan untuk mendeteksi upaya autentikasi mencurigakan dan blokir domain tingkat atas (TLD) yang terkait dengan infrastruktur infostealer.
- Kontrol Keamanan Browser: Terapkan kontrol untuk melindungi terhadap pencurian kredensial melalui browser.
- Pelatihan Kesadaran Pengguna: Lakukan pelatihan rutin tentang teknik social engineering seperti phishing dan malvertising.
- Aturan Deteksi: Gunakan aturan Sigma, Snort, dan YARA untuk mendeteksi aktivitas Rhadamanthys, termasuk eksekusi file MSI dan mekanisme penundaan.
Kesimpulan
Penutupan Lumma Stealer pada Mei 2025 adalah langkah penting dalam memerangi kejahatan siber, tetapi ancaman infostealer tetap ada dengan munculnya alternatif seperti Rhadamanthys dan Acreed. Rhadamanthys, dengan fitur AI dan teknik penghindaran canggih, berpotensi mengisi kekosongan yang ditinggalkan Lumma, terutama karena kemampuannya menargetkan dompet kripto dan kredensial perusahaan. Organisasi harus memperkuat pertahanan mereka dengan MFA, pemantauan jaringan, dan pelatihan pengguna untuk menghadapi ancaman yang terus berkembang ini. Kolaborasi global antara penegak hukum dan perusahaan teknologi, seperti yang ditunjukkan dalam operasi terhadap Lumma, tetap penting untuk mengganggu ekosistem kejahatan siber dan melindungi data sensitif di seluruh dunia.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!