Masuk tirto.id
tirto.id - Pada September 2023, sebuah kasino besar di Las Vegas, Amerika Serikat, memantik kehebohan karena terjadinya malafungsi. Pintu-pintu kamar hotel tak bisa dibuka, mesin-mesin permainan tak berfungsi, dan para tamu berjubel menunggu semua kembali normal tanpa kepastian. Hari itu, sampai sekitar seminggu setelahnya, aktivitas MGM Resorts International lumpuh total akibat serangan siber.
Serangan siber ini menarik. Kendati merupakan serangan siber, metode yang digunakan bisa dibilang low tech. Tidak ada malware. Tidak ada virus. Tidak ada upaya hacking. Sama sekali tidak ada. Yang dilakukan para peretas hanya menelepon pegawai kasino dan berlagak laiknya sesama pegawai.
Bertahun-tahun sejak serangan siber ke kasino MGM tersebut terjadi, dan para peretas ini terus menjalankan aksi. Korbannya pun bervariasi, mulai dari dari toko ritel sampai perusahaan asuransi. Belakangan, Biro Investigasi Federal AS (FBI) pun telah mengeluarkan peringatan bahwa kelompok peretas ini sedang menarget industri penerbangan atau aviasi.
Laba-laba yang Tersebar di Setiap Kepala
Kelompok peretas itu biasa disebut Scattered Spider alias Muddled Libra.
Kelompok Scattered Spider pertama kali diidentifikasi pada Juni 2022 oleh perusahaan keamanan siber, CrowdStrike. Dalam klasifikasi internalnya, kelompok tersebut dinamai dan, sejak saat itu, menjadi target pemantauan berbagai firma keamanan siber global. Palo Alto Networks, misalnya, menyebut kelompok itu sebagai Muddled Libra, merujuk pada gaya serangan yang tidak biasa dan sulit dikategorikan secara pasti.
Scattered Spider bukan kelompok peretas konvensional yang diasosiasikan dengan negara tertentu atau didominasi pelaku berpengalaman. Mereka justru dikenal sebagai kolektif yang beranggotakan anak-anak muda berusia 17 hingga 22 tahun. Sebagian besar dari mereka merupakan penutur asli bahasa Inggris dan berasal dari negara-negara Barat, seperti Amerika Serikat, Inggris, dan Kanada. Tak seperti kelompok peretas dari Eropa Timur atau Asia yang biasanya dikenal dengan kemampuan teknis tingkat tinggi, Scattered Spider beroperasi dengan pendekatan yang lebih sosial, seperti yang mereka lakukan kepada MGM.
Keahlian utama Scattered Spider terletak pada seni penipuan lewat telepon, percakapan daring, dan manipulasi real-time. Metode ini dikenal dalam dunia keamanan siber sebagai rekayasa sosial (social engineering), yakni cara meretas yang tidak mengandalkan malware atau eksploitasi teknis, melainkan menyasar kelemahan manusia. Dalam hal ini, Scattered Spider nyaris tak tertandingi.
Para anggota Scattered Spider sangat piawai menyamar, entah sebagai petugas IT, pegawai internal, atau vendor eksternal. Dan berkat kefasihan bahasa, keberanian tinggi, serta informasi latar belakang yang mudah dikumpulkan dari internet, mereka kerap berhasil memperdaya staf teknis untuk memberikan akses tanpa menimbulkan kecurigaan. Dari sini, mereka akan meyakinkan staf untuk menyetel ulang kata sandi, memberikan token autentikasi multi-faktor (Multi-Factor Authentication/MFA) atau bahkan akses ke sistem kritikal.
Setelah menipu pegawai dan mendapatkan akses dasar, mereka membajak nomor telepon korban agar bisa menerima OTP atau notifikasi login. Metode ini disebut SIM swapping. Mereka juga menggunakan teknik MFA fatigue, yakni mengirim permintaan login berkali-kali hingga korban secara refleks menyetujuinya. Dalam beberapa kasus ekstrem, Scattered Spider bahkan menggunakan taktik SWATing: melaporkan ancaman palsu ke polisi agar rumah korban digerebek untuk menciptakan distraksi besar.
Setelah berhasil masuk, Scattered Spider biasanya menjual akses yang didapatkannya ke kelompok ransomware-as-a-service seperti ALPHV/BlackCat. Dalam skema ini, Scattered Spider bertindak sebagai penyusup awal, lalu menyerahkan sistem ke kelompok lain yang akan mengenkripsi data dan meminta tebusan. Model ini sangat menguntungkan karena mereka tidak perlu memelihara infrastruktur ransomware sendiri, tidak perlu berurusan langsung dengan korban, tapi tetap mendapat bagian dari hasil pemerasan.
Kasus-Kasus Terbesar
Setidaknya, ada empat peretasan besar yang telah dilakukan Scattered Spider sejak pertama kali diidentifikasi keberadaannya pada 2022.
Pertama, insiden Caesars Entertainment pada September 2023. Sama seperti MGM Resorts, Caesars Entertainment merupakan sebuah kasino di Las Vegas. Modus operandinya seperti yang sudah dijelaskan pada bagian sebelumnya. Mereka berpura-pura jadi pegawai, menipu pegawai asli, merebut akses, lalu menyerahkan akses tersebut pada "penadahnya". Caesars akhirnya membayar tebusan sebesar 15 juta dolar AS untuk mencegah data pengunjung bocor ke publik.
Untuk kasus MGM, ada sedikit perbedaan. Sebab, manajemen menolak untuk membayar tebusan. Hasilnya, sistem operasi mereka, bahkan situs web kasino, tidak bisa diakses selama kurang lebih sepekan. Dari sinilah kemudian FBI mengonfirmasi bahwa metode yang dilakukan Scattered Spider bukanlah hacking melainkan phishing via social engineering.
Kasus ketiga menimpa jaringan ritel besar Marks & Spencer di Britania Raya. Dalam kurun April-Mei 2025, operasional perusahaan mengalami gangguan setelah dihinggapi ransomware. Sistem checkout-nya lumpuh dan distribusi barang seantero negeri pun terganggu. Sebenarnya, tidak pernah ada konfirmasi bahwa peretasan ini dilakukan oleh Scattered Spider. Akan tetapi, menilik modus operandi yang dilakukan, pihak internal menyimpulkan bahwa ada kesamaan dengan metode yang dipraktikkan Scattered Spider.
Berikutnya, pada Juni 2025, giliran Aflac, perusahaan asuransi asal AS, yang terkena serangan digital. Kala itu mereka mendapati adanya pelanggaran keamanan data dalam sistem. Menurut mereka, tidak ada data yang disalahgunakan, tetapi investigasi internal menyebut bahwa akses tidak sah berhasil diperoleh melalui teknik impersonasi helpdesk, serupa dengan pola khas Scattered Spider.
Terakhir, pada akhir Juni 2025, sejumlah perusahaan keamanan siber, seperti Palo Alto Networks dan Mandiant, melaporkan bahwa Scattered Spider sedang mengincar industri aviasi. Para analis memperingatkan, kelompok itu telah mengembangkan skema rekayasa sosial baru untuk meniru staf internal maskapai dan vendor bandara. Tujuannya adalah mendapatkan akses ke sistem logistik dan data penumpang.
Respons Industri
Serangan demi serangan yang dilakukan Scattered Spider mendorong industri keamanan siber untuk memikirkan ulang banyak hal. Tidak hanya tentang sistem dan perangkat lunak, tetapi tentang manusia sebagai titik masuk paling rawan.
Kini, pelatihan helpdesk dan petugas keamanan teknologi informasi menjadi prioritas utama. Banyak perusahaan telah menerapkan protokol verifikasi ganda khusus untuk semua permintaan administratif—bahkan dari pihak internal. Beberapa korporasi juga mulai melengkapi tim IT mereka dengan sistem deteksi percakapan untuk mengenali pola-pola manipulatif secara real-time.
Di sisi lain, kebijakan MFA pun mengalami pergeseran. Jika sebelumnya dianggap cukup untuk menahan serangan luar, kini MFA mulai dipandang sebagai titik yang bisa dieksploitasi lewat teknik MFA fatigue. Solusinya? Adaptasi ke metode MFA yang tidak mudah dibombardir, seperti passkey berbasis perangkat keras atau aplikasi autentikasi berbatasan waktu.
Pendekatan tanggap darurat juga harus ikut berubah. Alih-alih hanya fokus pada pemulihan sistem pasca-serangan, strategi itu mesti diperluas untuk mencakup deteksi dini terhadap skenario social engineering yang sedang berlangsung. Akan tetapi, ini jauh lebih sulit dilakukan dibanding mendeteksi malware atau lalu lintas mencurigakan.
Kasus Scattered Spider memperlihatkan satu hal penting. Serangan paling berbahaya tidak selalu berasal dari kode berbahaya, tapi dari kepercayaan yang disalahgunakan. Mereka tidak perlu membobol dinding keamanan digital karena hanya dengan “mengetuk pintu” pun mereka sudah bisa masuk.
Inilah realitas keamanan digital pada 2025. Di satu sisi masih ada aktor-aktor tradisional seperti kelompok peretas konvensional, di sisi lain ada kelompok yang justru menggunakan metode low tech untuk melakukan kejahatan high tech. Mengerikan? Tentu saja. Akan tetapi, tidak ada kejahatan yang tidak bisa dicegah. Maka, bersiap dan berhati-hati adalah kuncinya.
Penulis: Yoga Cholandha
Editor: Fadli Nasrudin
