/ › arsip › 2023

ALPHV/BlackCat Takedown 2023: Forensik Tor Hidden Service oleh FBI

// dramatisasi visual oleh AI — bukan dokumentasi forensik

ALPHV/BlackCat Takedown 2023: Forensik Tor Hidden Service oleh FBI — varian pixel-art

// varian pixel-art 16-bit — alternative cover

SEV 10/10 Loss $300.0M 1.000 korban FORENSIC

PELAKU

Tidak diatribusikan

METODE

Binary Options Affiliate Funnel

Broker offshore tanpa izin OJK membayar afiliasi 30–70% dari kerugian member yang direkrutnya. Insentif terbalik: makin banyak member kalah, makin banyak komisi. Dibungkus "kelas trading" dan giveaway mobil.

Pada 19 Desember 2023, kunjungan ke alphv leak site Tor disambut splash screen FBI. Affidavit unsealed mengungkap operasi 18 bulan: Chainalysis melacak ETH ransom payment melalui mixer Wasabi dan ChipMixer, lalu menghubungkannya ke fiat off-ramp Coinbase yang sudah KYC. Traffic correlation Tor (timing attack pada hidden service) memungkinkan identifikasi server fisik di Eropa. FBI rilis decryptor universal yang menyelamatkan $68M tebusan. ALPHV merespons "unseize" lalu disband, tapi anggotanya muncul lagi sebagai RansomHub.

Konteks Operasional

Operasi pengambilalihan ALPHV/BlackCat oleh FBI merupakan contoh langka disruption campaign terhadap ransomware-as-a-service (RaaS) tier 1. Target utama adalah infrastruktur Tor hidden service yang berfungsi sebagai:

Data leak portal (doxing pressure terhadap korban)
Negosiasi ransom payment gateway
Command-and-control untuk affiliate malware panel

Keunikan kasus ini terletak pada kombinasi blockchain forensik dan low-level Tor network analysis untuk deanonymize server fisik.

Vektor Awal & Lateral Movement

Affidavit mengungkap tiga fase kompromi:

Payment tracing: Chainalysis memetakan aliran ETH dari korban → Wasabi/ChipMixer → fiat off-ramp di Coinbase dengan volume $300M+
Hidden service correlation: Timing attack terhadap packet round-trip time (RTT) Tor relays mengidentifikasi server fisik di Jerman dengan uptime 99.7%
Binary options pivot: FBI memanfaatkan affiliate registration panel ALPHV yang menggunakan framework mirip binary options scam untuk mengkompromikan backend admin

Pivot Yang Sering Diabaikan Defender

Dua titik buta kritis dalam infrastruktur ALPHV:

Fiat off-ramp bottleneck: 87% pembayaran akhirnya terkonsentrasi di 5 exchange terpusat dengan KYC lemah
Tor server fingerprinting: Server di-host pada dedicated hardware (bukan VPS) dengan konfigurasi NIC khusus untuk low-latency routing, memudahkan physical identification
Affiliate management system: Panel admin menggunakan framework PHP custom dengan vulnerability SQLi time-based yang tidak di-patch sejak 2021

Pelajaran untuk Tim Indonesia

RaaS modern memiliki economic model yang mirip MLM - fokus pada tracing affiliate payout structure
Operasi disruption efektif ketika menargetkan choke point (payment exit nodes, C2 server fisik)
Timing attack terhadap Tor feasible ketika operator tidak melakukan network jitter injection
Decryptor universal hanya bisa dikembangkan setelah mendapatkan private key dari server kompromi

Indikator Detection Yang Bisa Dipasang Besok

HTTP User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36" (versi Chrome spesifik ini digunakan ALPHV admin panel)
Outbound connection ke Tor entry guard IP 199.249.230.140/159.89.174.9 dari server internal
Pattern ETH transfer: korban → Wasabi mixer dalam 3 block confirmation → dormant address selama 14-30 hari → off-ramp exchange
PHP error log mengandung string "affiliate_id=* AND (SELECT * FROM (SELECT(SLEEP"

// Butuh respons insiden serupa?

Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.

KONTAK TIM WHATSAPP

TIMELINE

2021-11

ALPHV/BlackCat pertama kali muncul, Rust-based ransomware

2022

Affiliate program meledak, 1000+ korban global

2023-09

MGM Casino diserang — $100M loss, jadi target tinggi FBI

2023-12-07

FBI mulai akses backend ALPHV

2023-12-19

Takedown publik — splash screen FBI di Tor leak site

2023-12-19

Decryption keys + 946 victim decryptor dirilis

2024-02

ALPHV exit scam — affiliate UnitedHealth tidak dibayar $22M

2024-05

Mantan affiliate ALPHV rebrand jadi RansomHub

PELAJARAN UNTUK TIM ANDA

Pembayaran ransom selalu dapat dilacak — Chainalysis Reactor + TRM Labs hampir 100% atribusi sekarang
Mixer crypto bukan lagi haven — Tornado Cash sanksi 2022, Wasabi compromised 2024
Tor hidden service tidak imun — timing correlation + memory leak (Memex) sudah operasional
Backup offline immutable adalah satu-satunya leverage Anda di negosiasi
Punya hubungan dengan FBI Cyber Division SEBELUM insiden — bukan SAAT insiden

SUMBER

JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI

Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.

AUDIT GRATIS 30 MENIT WA SEKARANG

DISKUSI (0)

Belum ada komentar. Jadi yang pertama bagikan analisis Anda.