Mereka Sembunyikan Ini dari Lo: 5 Kelompok Ransomware Dark Web yang Sudah Hancurkan Infrastruktur Kritis dan Cara Kerja Mereka yang Terorganisir Seperti Perusahaan

Kamu mungkin pernah mendengar berita tentang rumah sakit yang sistemnya tiba-tiba lumpuh, perusahaan minyak yang pipeline-nya terhenti, atau korporasi besar yang datanya tiba-tiba muncul di internet. Di balik semua itu ada ekosistem kejahatan siber yang jauh lebih terorganisir dari yang kebanyakan orang bayangkan, bukan sekadar hacker individual di ruang gelap, melainkan kelompok ransomware dark web yang beroperasi dengan struktur affiliate, marketplace bawah tanah, dan saluran komunikasi terenkripsi layaknya perusahaan teknologi sungguhan. Di artikel ini, kamu bakal nemuin bagaimana lima kelompok ransomware paling berbahaya saat ini beroperasi, apa yang membuat masing-masing unik, dan mengapa memahami mereka adalah langkah pertama untuk melawan mereka.

Ransomware dan RaaS: Bisnis Kejahatan yang Punya Model Franchise

Sebelum mengenal kelompok-kelompoknya, penting memahami dua konsep dasar. Ransomware adalah jenis malware yang mengenkripsi — atau mengunci — data korban sehingga tidak bisa diakses, lalu menuntut tebusan untuk membuka kunci tersebut. Analoginya seperti seseorang yang mencuri kunci rumahmu dan meminta bayaran untuk mengembalikannya.

RaaS atau Ransomware as a Service adalah model bisnis di mana pengembang ransomware menyewakan tool mereka kepada affiliate — pihak ketiga yang menjalankan serangan — dengan sistem bagi hasil dari tebusan yang berhasil dikumpulkan. Ini adalah dark web ransomware affiliate model yang mengubah ransomware dari ancaman individual menjadi industri kejahatan terorganisir dengan skala global. Cara kerja ransomware group terorganisir ini persis seperti franchise bisnis: ada yang mengembangkan produk, ada yang menjalankan operasi di lapangan, ada yang mengelola negosiasi tebusan, dan ada yang mencuci uang hasilnya.

8Base: Ketika Ransomware Lama Mendapat Wajah Baru

8Base ransomware Phobos variant adalah salah satu contoh paling menarik dari evolusi ransomware. Kelompok ini menggunakan varian yang dimodifikasi dari Phobos — ransomware yang sudah ada sebelumnya — dengan menambahkan ekstensi ".8base" pada semua file yang berhasil dienkripsi sebagai semacam tanda tangan.

Yang membuat 8Base menonjol adalah situs leak mereka yang memiliki kemiripan dengan RansomHouse data extortion operation — sebuah operasi pemerasan data yang dikenal karena tampilannya yang profesional dan sistematis. Situs leak adalah platform di dark web di mana kelompok ransomware mempublikasikan data korban yang menolak membayar tebusan, sebagai bentuk tekanan tambahan. Ransomware leak site data korban seperti ini adalah komponen standar dari strategi "double extortion" — memeras dua kali: sekali untuk mendekripsi data, sekali lagi agar data tidak dipublikasikan.

Akira: Pendatang Baru yang Langsung Jadi Salah Satu yang Paling Produktif

Akira ransomware Linux Windows adalah ransomware yang ditulis dalam bahasa pemrograman C++ dengan kemampuan menyerang baik sistem Windows maupun Linux — fleksibilitas yang membuatnya sangat berbahaya di lingkungan enterprise modern yang sering menjalankan kedua sistem secara bersamaan.

Dalam waktu singkat sejak kemunculannya, Akira sudah menjadi salah satu kelompok cybercrime dark web 2026 yang paling produktif dalam hal jumlah korban. Pendekatan mereka menggabungkan enkripsi data dengan ancaman publikasi, dan tampilan dark web mereka yang sengaja dibuat retro dengan estetika terminal komputer lama adalah bagian dari strategi psikologis untuk membangun reputasi dan menciptakan rasa takut pada calon korban berikutnya.

BlackBasta: Volume Tinggi dengan Koneksi ke Kelompok Kriminal Lama

BlackBasta ransomware FIN7 adalah kombinasi yang mengkhawatirkan. BlackBasta adalah operasi ransomware yang dikenal karena volume serangan yang tinggi dan penggunaan custom tools — alat serangan yang dikembangkan sendiri, bukan sekadar menggunakan tool yang tersedia di pasar gelap. Keunggulan ini membuat serangan mereka lebih sulit dideteksi oleh sistem keamanan yang mengandalkan signature atau pola yang sudah dikenal.

Koneksi yang diduga kuat antara BlackBasta dan FIN7 — kelompok kriminal siber yang sudah beroperasi selama bertahun-tahun dengan spesialisasi di sektor keuangan dan retail — menunjukkan bahwa ini bukan operasi baru yang memulai dari nol, melainkan kelanjutan dari jaringan kriminal yang sudah mapan dengan expertise dan sumber daya yang terakumulasi.

BlackCat/ALPHV: Warisan DarkSide dan Serangan Colonial Pipeline

BlackCat ALPHV ransomware RaaS dikenal juga dengan nama Noberus, dan dipercaya menyatukan developer serta money launderer dari kelompok DarkSide yang sebelumnya bubar. DarkSide sendiri adalah kelompok yang bertanggung jawab atas Colonial Pipeline BlackCat — insiden ransomware yang pada 2021 memaksa penutupan pipeline bahan bakar terbesar di pantai timur Amerika Serikat dan menyebabkan kelangkaan bahan bakar di beberapa negara bagian.

Warisan DarkSide dalam BlackCat/ALPHV berarti kelompok ini membawa serta keahlian teknis dan jaringan operasional yang sudah teruji. Sebagai kelompok RaaS ransomware as a service, mereka merekrut affiliate dan memberikan infrastruktur serangan yang canggih, termasuk enkripsi komunikasi kelompok ransomware yang mempersulit pelacakan oleh penegak hukum.

Cl0p: Spesialis Supply Chain yang Menyerang Ratusan Korban Sekaligus

Cl0p ransomware supply chain attack adalah pendekatan yang membedakan kelompok ini dari yang lain secara fundamental. Alih-alih menyerang satu target pada satu waktu, Cl0p mengeksploitasi kerentanan pada software supply chain yaitu software yang digunakan oleh banyak organisasi sekaligus dan mengumumkan korban-korbannya secara batch pada waktu yang ditentukan kemudian.

Strategi ini memiliki efisiensi yang mengerikan: dengan mengeksploitasi satu kerentanan di satu software, Cl0p bisa mengompromikan ratusan atau bahkan ribuan organisasi yang semuanya menggunakan software yang sama. Underground marketplace cybercrime yang mendukung operasi mereka memungkinkan skala serangan yang mustahil dilakukan oleh kelompok yang beroperasi secara konvensional.

Kesimpulan: Memahami Musuh adalah Pertahanan Pertama

Threat landscape ransomware terbaru 2026 yang digambarkan oleh kelima kelompok ini menunjukkan satu realita yang tidak bisa diabaikan: ransomware sudah berevolusi dari ancaman oportunistik menjadi industri kejahatan terstruktur dengan spesialisasi, pembagian kerja, dan model bisnis yang efisien. Mitigasi ancaman ransomware enterprise yang efektif harus dimulai dari pemahaman tentang bagaimana kelompok-kelompok ini beroperasi, karena pertahanan yang tidak memahami cara kerja musuhnya tidak akan pernah cukup untuk melindungi infrastruktur yang semakin kompleks dan semakin bernilai sebagai target.

Serangan ransomware infrastruktur kritis bukan lagi ancaman yang hanya relevan untuk perusahaan teknologi besar. Rumah sakit, utilitas listrik, sistem transportasi, dan lembaga pemerintahan semuanya sudah masuk dalam daftar target yang aktif diincar oleh kelompok-kelompok ini. Pertanyaannya bukan apakah organisasimu akan menjadi target, tapi seberapa siap kamu ketika itu terjadi.