84 Kelompok Ransomware, Satu Kebenaran yang Tidak Menyenangkan: Penindakan Hanya Memecah-mecah Ekosistem, Bukan Menghancurkannya
Laporan Q1 2026 dari Travelers menunjukkan jumlah korban yang hampir memecahkan rekor dan lonjakan kelompok kriminal baru, mengungkap mengapa pembongkaran nama-nama terbesar ransomware justru mungkin membuat masalah secara keseluruhan semakin sulit untuk diselesaikan.
Penegak hukum merayakan ketika LockBit berhasil dilumpuhkan. Champagne secara kiasan sudah dibuka, siaran pers diterbitkan, dan narasi yang beredar adalah bahwa masalah ransomware akhirnya mulai mengecil. Kemudian Travelers menerbitkan Laporan Ancaman Siber Q1 2026, dan angka-angkanya bercerita hal yang sama sekali berbeda.
Papan Skor yang Tidak Diinginkan Siapapun
Pada kuartal pertama 2026, operator ransomware memposting 2.405 korban ke situs kebocoran data di dark web, menurut Laporan Ancaman Siber Q1 2026 Travelers sebagaimana dirangkum oleh PropertyCasualty360. Angka tersebut hanya turun 2% dari rekor tertinggi sepanjang masa yang dicatatkan pada Q4 2025, dan naik 7% dibandingkan kuartal yang sama satu tahun sebelumnya. Untuk melihat gambaran jangka panjangnya: klaim ransomware meningkat 80% sejak 2022, dan aktivitas ransomware secara keseluruhan meningkat tiga kali lipat dalam periode yang sama, berdasarkan data Travelers yang dilaporkan oleh PropertyCasualty360. Jumlah korban yang diposting ke situs kebocoran meningkat 50% hanya dalam tahun 2025 saja, menurut Travelers Institute. Ini bukan sekadar kesalahan pembulatan. Ini adalah garis tren yang menunjuk ke satu arah.
Namun angka yang paling mengejutkan bukanlah jumlah korban. Melainkan jumlah kelompok. Menurut laporan Travelers yang diliput oleh PropertyCasualty360, 84 kelompok kriminal berbeda aktif pada Q1 2026, jumlah tertinggi yang pernah dicatat Travelers sejak 2020. Setahun sebelumnya, angka yang sebanding adalah 70. Dari 84 kelompok tersebut, 19 di antaranya muncul untuk pertama kalinya dalam data situs kebocoran, menurut Corvus by Travelers. Pendatang baru. Generasi operator yang segar, datang tepat di saat tindakan penegakan hukum besar-besaran seharusnya membuat pasar menjadi dingin.
Masalah Fragmentasi, Dijelaskan
Inilah wawasan strategis yang tidak nyaman yang tersembunyi dalam data: melumpuhkan kelompok ransomware yang dominan tidak menghilangkan kapasitas kriminal yang dimiliki kelompok tersebut. Kapasitas itu justru tersebar. Ketika sebuah operasi besar terganggu, para afiliasinya, perangkat yang mereka gunakan, dan kadang para pengembangnya berpencar. Sebagian pensiun. Banyak yang tidak. Mereka membangun operasi baru, bergabung dengan kelompok yang lebih kecil, atau meluncurkan merek independen. Hasilnya adalah ekosistem dengan lebih banyak simpul, bukan lebih sedikit.
Travelers membahas dinamika ini secara langsung. Sebagaimana dilaporkan PropertyCasualty360, perusahaan asuransi tersebut mencatat bahwa fragmentasi membuat ransomware lebih sulit untuk diperangi karena menangkap satu kelompok menjadi kurang berdampak ketika serangan tersebar di berbagai pelaku yang terus berubah. Ancaman yang terkonsentrasi, justru secara paradoks, lebih mudah dipantau dan diganggu dibandingkan ancaman yang tersebar.
Komunitas keamanan siber sudah memahami hal ini secara intelektual selama bertahun-tahun. Data Q1 2026 kini menjadi bukti empirisnya.
Kelompok-kelompok terdepan pada Q1 2026 menggambarkan baik persistensi pemain lama maupun kekacauan lanskap baru. Qilin memposting 414 korban untuk merebut posisi teratas, sementara sebuah kelompok bernama the Gentlemen memposting 207 korban, menurut PropertyCasualty360. Organisasi yang menjadi target mencakup entitas di sektor jasa keuangan, menurut laporan yang sama. Dua operator yang sangat berbeda, keduanya berkembang dalam kuartal yang sama. Itulah wujud nyata dari ekosistem yang terfragmentasi.
Pintu VPN Masih Terbuka Lebar
Fragmentasi pada pelaku ancaman tidak berarti keacakan pada titik masuk. Data Travelers mengungkapkan konsistensi yang mencolok dari sisi intrusi: lebih dari 85% klaim siber Travelers yang diajukan antara Agustus hingga Desember 2025 melibatkan VPN sebagai titik masuk awal, menurut Travelers Institute.
Angka tersebut perlu dibaca dengan perlahan. Bukan sekadar mayoritas relatif. Bukan sekadar mayoritas. Lebih dari 85%. Virtual private network, yang dimaksudkan sebagai kontrol keamanan, telah menjadi salah satu pintu paling andal untuk masuk ke lingkungan korporat.
Mekanismenya tidak misterius. Perangkat VPN yang belum ditambal, kredensial yang dicuri dan digunakan untuk mengakses portal VPN, serta autentikasi multi-faktor yang salah konfigurasi di sekitar akses VPN semuanya adalah permukaan serangan yang sudah terdokumentasi dengan baik.
Analisis kondisi ransomware Q1 2026 dari Emsisoft mencatat bahwa lanskap saat ini tidak hanya ditentukan oleh volume tetapi juga oleh niat, dengan pelaku ancaman yang semakin memprioritaskan tujuan yang melampaui enkripsi sederhana untuk tebusan. Pergeseran dari gangguan ke pencurian data yang didokumentasikan oleh Industrial Cyber, mengutip temuan BlackFog pada Q1 2026, memperkuat hal ini: operator semakin banyak mengeksfiltrasikan data sebelum atau sebagai pengganti enkripsi, karena data yang dicuri menghasilkan daya tawar pemerasan bahkan ketika korban memulihkan dari cadangan. VPN adalah pintu depan; apa yang terjadi setelah masuk semakin menyerupai pencurian data, bukan sekadar penguncian akses.
Apa Artinya Ini Bagi Anda
Jika Anda mengelola keamanan untuk organisasi apa pun, implikasi kebijakan dari temuan fragmentasi adalah bahwa model ancaman Anda tidak bisa dibangun di atas pemantauan kelompok-kelompok bernama. Memantau indikator kompromi LockBit sementara 19 kelompok baru debut dalam satu kuartal sama seperti mengganti kunci setelah memberikan kunci kepada orang asing yang belum pernah Anda temui.
Respons praktisnya adalah berfokus pada bagian masalah yang tidak berubah: vektor akses awal (tambal perangkat VPN Anda, terapkan autentikasi multi-faktor yang tahan phishing), deteksi pergerakan lateral, dan kontrol eksfiltrasi data, karena meskipun kelompok yang Anda pantau menghilang besok, kelompok berikutnya akan menggunakan pintu yang sama.
Travelers Institute mencatat bahwa perusahaan asuransi merekomendasikan lima praktik kesiapan siber untuk membantu organisasi melindungi diri dari ancaman yang terus berkembang, meski detail praktik tersebut terdapat dalam Laporan Ancaman Siber Q1 2026 Travelers yang lengkap. Laporan tersebut layak dibaca seluruhnya, bukan untuk nama-nama kelompok (itu akan berubah), melainkan untuk pola-pola struktural yang tidak akan berubah.
Papan skor dengan 84 kelompok aktif akan terlihat berbeda pada Q2. Namun pelajaran yang diajarkannya akan tetap sama.
Sumber
- Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
- Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance(opens in new tab)
- Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
- Threat Intel Insights from Corvus by Travelers(opens in new tab)
- The State of Ransomware in Q1 2026(opens in new tab)
- Ransomware activity holds steady in Q1 2026 as threat actors prioritise data theft over disruption, BlackFog finds - Industrial Cyber(opens in new tab)
Sumber
- Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance : Risk & Insurance(opens in new tab)
- Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
- Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
- Threat Intel Insights from Corvus by Travelers(opens in new tab)
- The State of Ransomware in Q1 2026(opens in new tab)
- Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
- Ransomware Hits Near-Record Highs as AI Governance Gaps ...(opens in new tab)
- Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
- Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
- Threat Intel Insights from Corvus by Travelers(opens in new tab)