Kampanye Ransomware Menargetkan Infrastruktur Keuangan Korea Selatan: Aktor Ancaman Rusia dan Korea Utara di Balik Pelanggaran Data 2TB

Lanskap keamanan di Korea Selatan mengalami perubahan tajam ke arah yang lebih buruk saat pelaku kejahatan siber yang terkoordinasi, yang berafiliasi dengan aktor tingkat negara, meluncurkan gelombang serangan yang belum pernah terjadi sebelumnya terhadap sektor keuangan negara tersebut. Antara September dan Oktober 2024, lebih dari 40 entitas keuangan dan perbankan menjadi korban dari apa yang kini diidentifikasi oleh para peneliti keamanan sebagai kampanye terkoordinasi yang disusun oleh Qilin, sebuah operasi ransomware-as-a-service (RaaS) yang berbasis di Rusia bekerja sama dengan aktor siber Korea Utara yang dikenal sebagai Moonstone Sleet.

Skala Serangan: Dari Kerentanan Rantai Pasok hingga Kompromi Massal

Laporan Threat Debrief dari perusahaan keamanan siber Bitdefender bulan Oktober 2024 menggambarkan gambaran yang menakutkan: pelaku menyerang penyedia layanan terkelola (MSPs) yang melayani institusi keuangan Korea Selatan, menggunakan titik masuk tunggal ini untuk menyebarkan malware ke seluruh jaringan klien mereka. Hasilnya sangat mencengangkan—33 insiden terpisah yang dilacak sepanjang 2024, dengan 25 di antaranya terkonsentrasi pada September, menunjukkan lonjakan dua belas kali lipat dibandingkan rata-rata bulanan.

Cakupan operasionalnya jauh melampaui sekadar pemerasan. Aktor ancaman mengekstraksi sekitar 2TB data yang sangat sensitif, termasuk dokumen berisi intelijen militer, ramalan ekonomi, dan cetak biru infrastruktur untuk proyek-proyek penting seperti fasilitas LNG dan jaringan jembatan. Menurut analisis Bitdefender, lebih dari 1 juta file dicuri dalam tiga gelombang berbeda, dengan pelaku secara sengaja membingkai aktivitas mereka sebagai perjuangan anti-korupsi untuk membenarkan dump data publik.

Model Operasi Qilin dan Implikasi Geopolitik

Qilin beroperasi di bawah kerangka ransomware-as-a-service, mengalihdayakan serangan kepada operator terkait sambil mempertahankan kendali terpusat atas infrastruktur dan strategi pemerasan. Asal-usul Rusia dari kelompok ini sudah terdokumentasi dengan baik: anggota pendiri beroperasi di forum siber berbahasa Rusia, dan organisasi ini secara eksplisit menghindari menargetkan entitas dari Persemakmuran Negara-Negara Merdeka—sebagai ciri khas infrastruktur kriminal yang berafiliasi dengan negara.

Yang membedakan kampanye ini adalah keterlibatan aktor Korea Utara. Partisipasi Moonstone Sleet menandakan misi pengumpulan intelijen yang berlapis di bawah motif keuntungan dari operasi ransomware konvensional. Intelijen menunjukkan bahwa data yang dicuri sedang disiapkan untuk pimpinan Korea Utara, menunjukkan spionase geopolitik di luar sekadar pemerasan finansial.

Kronologi: Bagaimana Sektor Keuangan Korea Runtuh

Fase Pertama (14 September 2024): Gelombang pelanggaran awal mengungkapkan catatan sensitif dari sepuluh perusahaan manajemen keuangan, memicu peringatan langsung di komunitas keamanan.

Fase Dua (17-19 September 2024): Dump data kedua menambahkan 18 korban lagi ke situs bocoran, dengan pelaku mengeluarkan ancaman untuk mengganggu pasar saham Korea Selatan melalui pelepasan data yang terkoordinasi.

Fase Tiga (28 September - 4 Oktober 2024): Pengeluaran terakhir merilis data yang tersisa. Empat postingan kemudian dihapus dari situs bocoran—kemungkinan menandakan pembayaran tebusan yang berhasil dari entitas yang menjadi target.

Sebuah insiden yang mencolok mengungkapkan jangkauan serangan: lebih dari 20 manajer aset dikompromikan melalui satu pelanggaran rantai pasok di penyedia layanan GJTec, sebagaimana dilaporkan media Korea JoongAng Daily pada 23 September 2024.

Konteks Global: Posisi Korea Selatan yang Rentan

Analisis komparatif Bitdefender menempatkan Korea Selatan sebagai negara kedua paling terdampak ransomware secara global pada 2024, hanya kalah dari Amerika Serikat. Pembedaan ini mencerminkan baik tingkat kecanggihan pelaku maupun kerentanan dalam infrastruktur keamanan siber Korea Selatan—terutama ketergantungan pada penyedia MSP terpusat untuk pengelolaan TI di seluruh jaringan keuangan.

Pada Oktober 2024, Qilin sendiri mengklaim lebih dari 180 korban di seluruh dunia, yang mewakili sekitar 29% dari seluruh insiden ransomware global menurut penilaian intelijen ancaman NCC Group.

Implikasi untuk Ekosistem Crypto dan Fintech

Pelanggaran ini menimbulkan risiko langsung terhadap bursa cryptocurrency dan platform fintech yang beroperasi di atau berdagang dengan pasar Korea Selatan. Data keuangan yang dicuri dapat digunakan untuk serangan rekayasa sosial, pengisian kredensial, atau ransomware yang ditargetkan terhadap infrastruktur crypto. Selain itu, ketidakstabilan lembaga keuangan tradisional mengikis kepercayaan dalam ekosistem keuangan secara keseluruhan, yang berpotensi memicu arus modal keluar menuju atau menjauh dari aset digital.

Langkah Pertahanan: Apa yang Harus Dilakukan Institusi Korea Selatan Sekarang

Para peneliti keamanan merekomendasikan strategi pertahanan berlapis-lapis:

Penguatan Rantai Pasok: Terapkan protokol penyaringan yang ketat untuk semua penyedia layanan terkelola, termasuk pengujian penetrasi dan arsitektur jaringan zero-trust yang membatasi pergerakan lateral bahkan jika MSP dikompromikan.

Kontrol Akses: Terapkan otentikasi multi-faktor di seluruh sistem keuangan dan segmentasikan jaringan untuk membatasi kerusakan. Jika institusi Korea Selatan menerapkan segmentasi jaringan yang granular, exfiltrasi data 2TB tersebut bisa dikurangi secara signifikan.

Pemantauan Ancaman: Bangun pemantauan 24/7 untuk indikator yang terkait dengan Qilin dan aktor yang didukung negara, termasuk anomali perilaku yang khas dari operasi RaaS.

Pelatihan Karyawan: Laksanakan program kesadaran keamanan yang berkelanjutan dengan fokus pada pencegahan phishing, karena akses awal sering bergantung pada rekayasa sosial yang menargetkan karyawan di penyedia layanan terpercaya.

Kesimpulan: Panggilan Bangun untuk Institusi Keuangan di Seluruh Dunia

Kampanye ransomware Korea Selatan menunjukkan bahwa aktor negara dan pelaku kejahatan siber kini beroperasi dalam ekosistem yang terkoordinasi, mengaburkan batas-batas ancaman tradisional. Bagi pemangku kepentingan cryptocurrency dan fintech, insiden ini menegaskan kerentanan kritis: infrastruktur keuangan yang menjadi dasar pasar digital tetap terbuka terhadap lawan yang canggih dan memiliki sumber daya melimpah. Institusi harus memprioritaskan keamanan rantai pasok, menerapkan strategi pertahanan berlapis, dan menyiapkan protokol tanggap insiden sebelum gelombang berikutnya melanda. Jendela untuk pertahanan proaktif semakin sempit saat Qilin dan mitra berafiliasi negara terus melanjutkan operasi mereka hingga 2025.