Tahun 2025 menandai fase baru dalam dunia kejahatan siber: tiga pemain utama ransomware, LockBit, Qilin, dan DragonForce, secara resmi mengumumkan aliansi strategis yang mengguncang ekosistem keamanan digital global.

Latar Belakang Aliansi

Menurut CCI, kolaborasi antar­kelompok tersebut bertujuan untuk memperkuat efektivitas serangan ransomware melalui sharing teknik, sumber daya dan infrastruktur bersama. Pengumuman ini muncul tak lama setelah bangkitnya LockBit dari keterpurukan akibat operasi penegakan hukum internasional (seperti operasi “Cronos” di awal 2024) yang sempat menurunkan kapasitasnya.

Profil Ketiga Kelompok

• LockBit: Setelah sempat “terkendali” oleh aparat hukum, LockBit kembali dengan versi baru yaitu “LockBit 5.0” yang diumumkan 3 September 2025 di forum darknet RAMP. Versi ini diklaim mampu menyerang sistem Windows, Linux, hingga ESXi. LockBit sebelumnya dikenal sebagai salah satu kelompok ransomware paling berbahaya, dengan ribuan korban dan tebusan ratusan juta dolar AS.
• Qilin: Dapat dikatakan sebagai kelompok ransomware paling aktif di dunia pada periode tersebut. Laporan menyebut bahwa dalam satu kuartal saja (Q3 2025) mereka menyerang lebih dari 200 target, mayoritas di Amerika Utara.
• DragonForce: Keikut­sertaannya dalam aliansi menunjukkan bahwa model Ransomware-as-a-Service (RaaS) terus berkembang. DragonForce dipercaya hadir sebagai penyedia platform atau infrastruktur untuk afiliasi yang ingin melancarkan serangan. Selain itu, muncul juga aktor baru bernama Scattered Spider yang sedang menyiapkan layanan RaaS bernama “ShinySp1d3r” oleh kelompok berbahasa Inggris, menunjukkan bahwa dominasi kelompok Rusia dalam ransomware diperkirakan mulai menghadapi tantangan dari wilayah lain.

Tren dan Dampak yang Ditunjukkan

• Jumlah data leak sites, yaitu situs publikasi data korban, meningkat tajam, dari 51 situs di awal 2024 menjadi 81 situs di 2025.
• Sektor yang paling sering menjadi korban mencakup layanan profesional, ilmiah & teknis; manufaktur & konstruksi; kesehatan; keuangan & asuransi; ritel & akomodasi; edukasi & hiburan; serta properti.
• Menariknya, serangan kini makin meluas ke negara-negara yang sebelumnya dianggap «non-tradisional» bagi ransomware, seperti Mesir, Thailand, dan Kolombia, meskipun korban terbesar masih berasal dari negara maju seperti AS, Jerman, Inggris, Kanada, dan Italia.
• Dari sisi insiden global, tercatat 1.429 kejadian ransomware dan pemerasan digital (R&DE) di Q3 2025, menurun dari 1.961 insiden di Q1 2025, namun catatan CCI menyebut bahwa angka ini tidak berarti ancaman berkurang, sebab kolaborasi semacam aliansi ini cenderung meningkatkan “efisiensi” tiap serangan.

Statistik Serangan Ransomware di 2025

Sepanjang kuartal ketiga tahun 2025, tercatat 1.429 insiden ransomware dan digital extortion (R&DE) di seluruh dunia. Angka ini memang menurun dibandingkan 1.961 insiden di kuartal pertama, tetapi para analis menilai penurunan tersebut bukan tanda ancaman mereda, melainkan bukti bahwa para pelaku mulai meningkatkan efisiensi serangan mereka.

Peningkatan juga terlihat pada jumlah data leak site, yaitu situs tempat kelompok ransomware mempublikasikan data korban yang menolak membayar tebusan. Jumlahnya naik tajam dari 51 situs pada awal 2024 menjadi 81 situs di 2025, menandakan bahwa praktik double extortion (enkripsi + kebocoran data) kini menjadi standar baru dalam operasi ransomware modern.

Secara sektor, serangan ransomware paling banyak menimpa:

• Layanan profesional, ilmiah, dan teknis
• Manufaktur dan konstruksi
• Kesehatan
• Keuangan dan asuransi
• Ritel dan akomodasi
• Edukasi dan hiburan
• Properti dan real estat

Dari sisi geografis, negara-negara maju seperti Amerika Serikat, Jerman, Inggris, Kanada, dan Italia masih menjadi target utama. Namun, tren menarik muncul di mana serangan juga meluas ke negara-negara yang sebelumnya jarang diserang, seperti Mesir, Thailand, dan Kolombia. Hal ini menunjukkan adanya strategi diversifikasi target untuk menghindari pengawasan ketat otoritas keamanan dunia maya.

Dampak dan Implikasi untuk Organisasi

Kolaborasi antara tiga kelompok besar ini menandakan bahwa model operasi ransomware kini semakin terorganisir seperti ekosistem kriminal profesional.

Beberapa dampak utama bagi organisasi meliputi:

1. Skala dan kecepatan serangan meningkat, karena taktik dan infrastruktur dibagikan lintas kelompok.
2. Target makin selektif, pelaku memilih korban dengan celah keamanan, namun memiliki nilai tebusan tinggi.
3. Kebocoran data menjadi senjata utama, publikasi data di leak site kini digunakan sebagai tekanan tambahan.
4. Efisiensi serangan meningkat, meski jumlah insiden menurun, kerugian finansial dan reputasional meningkat drastis.

Kesimpulan

Aliansi antara LockBit, Qilin, dan DragonForce memperkuat sinyal bahwa ransomware bukan lagi ancaman yang berdiri sendiri, tetapi kolaborasi global lintas aktor dengan pembagian peran yang jelas.

Bagi organisasi, ini berarti strategi pertahanan siber perlu bergeser dari reaktif ke proaktif: meningkatkan pemantauan endpoint, memperkuat cadangan data offline, menguji sistem pemulihan, serta memastikan pelatihan kesadaran keamanan bagi seluruh karyawan.

Dengan koordinasi yang semakin solid di antara para pelaku kejahatan siber, tahun 2025 menjadi pengingat bahwa pertahanan digital tidak cukup hanya dengan teknologi, tetapi juga kesiapan, kolaborasi, dan kecepatan respon.