News

Tag: malware-analysis

  • They Didn’t Break In. They Logged In: The Credential-First Ransomware Playbook Rewriting Your Threat Model

    They Didn’t Break In. They Logged In: The Credential-First Ransomware Playbook Rewriting Your Threat Model

    7,655 ransomware victims in 12 months (based on leak site tracking). One organization every 71 minutes. The dominant attack vector is not a vulnerability: it’s a valid login.

    From March 2025 to March 2026, ransomware groups posted 7,655 victim claims. That is one new organization posted every 71 minutes, every hour of every day for an entire year. Fifty-three ransomware groups claimed US victims in January and February 2026 alone. Qilin alone claimed 1,179 victims across 74 countries, averaging 3.1 new victims every single day.

    These numbers are striking. What is more striking is how the attacks actually begin. Ransomware is no longer primarily a story about exploiting technical vulnerabilities. The dominant shift in 2026 is identity-first attack: attackers prioritize credential theft, session token hijacking, and federated access abuse to achieve initial access. They do not break in through a zero-day. They log in with a valid credential.

    This rewrite of the ransomware playbook has profound implications for threat models that are organized around perimeter defense and vulnerability management. If the attacker already has valid credentials, your firewall sees a legitimate login. Your SIEM records an authenticated session. Your EDR agent sees a credentialed user executing commands. The threat is inside the perimeter from the first moment, and it looks like a trusted user.

    This post maps how credential-first ransomware works in 2026, why the identity perimeter is now the last line of defense, and what detection controls actually catch these attacks before encryption begins.

    What Is Credential-First Ransomware?

    Credential-first ransomware is a ransomware attack methodology that prioritizes obtaining valid authentication credentials as the first phase of the attack chain, rather than exploiting a technical vulnerability for initial access. This includes phishing-based credential theft, session token hijacking (including AiTM techniques), dark web purchase of previously stolen credentials, and insider recruitment.

    Once inside with valid credentials, attackers move methodically: they discover the environment, elevate privileges, disable security tooling, destroy backups, and stage data for exfiltration before deploying encryption. The credential is the key. Everything else follows from having it.

    The 2026 Ransomware Landscape: Who Is Attacking

    The credential theft ransomware identity attack landscape in 2026 is characterized by a maturing ecosystem of specialized groups with distinct operating patterns.

    Qilin leads by volume with 1,179 claims across 74 countries in the past 12 months. Akira targets mid-market organizations in manufacturing and professional services. Clop specializes in large-scale data theft from enterprise networks. INC Ransom and Play focus on critical infrastructure and healthcare. DragonForce and Sinobi represent newer entrants with rapidly growing victim counts.

    Across these groups, several structural trends define 2026 operations: faster rebranding cycles when heat increases, cross-platform encryption capability that operates across Windows, Linux, and VMware ESXi simultaneously, and double extortion as the baseline: data exfiltration before encryption, with two separate leverage points for payment.

    Perhaps most concerning: ransomware groups are actively recruiting native English speakers to approach corporate insiders as recruitment targets. A BBC reporter was contacted in 2026 by a group attempting to recruit insiders to plant ransomware in exchange for a share of the ransom. The attack surface now includes your employees as potential threat vectors.

    The Credential-First Attack Chain

    Phase 1: Credential Acquisition

    Attackers acquire credentials through multiple channels operating in parallel. Phishing campaigns deliver credential-harvesting pages or info-stealers. Dark web credential markets sell previously stolen credentials from historical breaches. Session tokens are harvested through AiTM phishing proxies that bypass MFA. Federated identity vulnerabilities allow credential reuse across cloud environments.

    Nation-state actors using AI to forge synthetic identities and deepfake personas have also been observed successfully passing recruitment and verification processes, establishing insider positions in targeted organizations. The acquisition phase is patient and multi-channel.

    Phase 2: Persistent Access Establishment

    With valid credentials, the attacker establishes persistent access using legitimate mechanisms: creating new accounts, adding MFA methods to existing accounts, registering new devices for trusted access, and installing remote management tools that are indistinguishable from legitimate IT infrastructure.

    This phase is where dwell time accumulates. Attackers may maintain persistent access for weeks before proceeding, gathering intelligence on network topology, backup architecture, and security tooling.

    Phase 3: Privilege Escalation and Lateral Movement

    Using the persistent access, attackers escalate privileges by exploiting misconfigured access controls, over-privileged service accounts, and legacy systems that lack modern authentication requirements. Lateral movement uses legitimate tools: RDP, WMI, PowerShell, and network file shares — activities that are difficult to distinguish from normal IT operations without behavioral context.

    Phase 4: Defense Evasion and Backup Destruction

    Before encryption, attackers systematically disable or evade security controls: stopping EDR agents, clearing logs, disabling backup processes, and staging data exfiltration. Backup destruction is completed before ransomware deployment to remove the recovery option. This phase is the critical window for detection: the behavioral patterns of backup access and deletion, logging changes, and security tool manipulation are detectable anomalies that precede encryption.

    Phase 5: Encryption and Double Extortion

    With defenses disabled and backups destroyed, encryption is deployed. Simultaneously, the exfiltrated data creates a second extortion lever: pay or the data is published. In 2026, the encryption phase is often the first moment organizations realize an attack is underway: by then, the damage is largely done.

    What Happens When Teams Miss the Early Phases

    Ransomware groups have adapted to detection at the encryption phase: they simply rebuild with a different tool and re-enter. The organizations that successfully reduce breach impact are those that detect the attack during credential acquisition, persistence establishment, or the lateral movement phase — before backup destruction begins. Peris.ai’s platform reduces breach impact by 53% and cost by 47% in documented deployments: that reduction comes from early-phase detection, not post-encryption response.

    Why Traditional Threat Models Miss Credential-First Ransomware

    The credential-first ransomware playbook is not a new tactic: it is the maturation of an approach that has been growing in prevalence for years, driven by the increasing availability of stolen credentials, the effectiveness of session token hijacking, and the reality that most organizations have stronger perimeter defenses than identity security.

    The threat model that treats network perimeter defense as the primary control is the wrong threat model for 2026. Identity security, behavioral analytics that surface anomalous credential use, and automated response speed are the controls that matter. Peris.ai’s XDR, BrahmaFusion, and IRP give SOC teams the identity-layer visibility, early-phase detection, and automated response capability to catch ransomware attacks before they reach the encryption phase.

    Because in 2026, the most dangerous actor in your environment is not breaking in. They are already logged in. And the clock is running.

    Learn how Peris.ai’s agentic AI platform empowers security teams to detect and stop credential-first ransomware before backup destruction begins. Want more insights? Visit Peris.ai.

    Frequently Asked Questions

    What is credential-first ransomware?

    Credential-first ransomware prioritizes obtaining valid authentication credentials as the first phase of the attack chain, using credential theft, session token hijacking, or dark web credential purchases to gain access, rather than exploiting technical vulnerabilities.

    How many ransomware attacks happened in 2025-2026?

    Ransomware groups posted 7,655 victim claims from March 2025 to March 2026 (based on leak site tracking), representing one new organization every 71 minutes.

    Who is Qilin ransomware?

    Qilin is the most prolific ransomware group in the 12-month period ending March 2026, claiming 1,179 victims across 74 countries at an average rate of 3.1 victims per day.

    Why does MFA no longer fully protect against ransomware?

    AiTM phishing techniques proxy the authentication flow, capturing the session token after MFA completes. Attackers replay the token to gain authenticated access without ever having the user’s credentials or MFA device.

    How does Peris.ai detect credential-first ransomware attacks?

    Peris.ai’s XDR correlates identity signals across endpoint, network, cloud, and authentication layers to detect anomalous credential use in the early attack phases. BrahmaFusion executes automated response playbooks to contain compromise before lateral movement or backup destruction occurs.

  • Hacker Tidak Hanya Mengincar Perusahaan Besar: Mengapa Startup dan UKM Indonesia Kini Jadi Target Utama Kejahatan Siber

    Hacker Tidak Hanya Mengincar Perusahaan Besar: Mengapa Startup dan UKM Indonesia Kini Jadi Target Utama Kejahatan Siber

    Bayangkan toko Anda (fisik maupun digital) dibiarkan terbuka tanpa kunci setiap malam. Tidak ada gembok, tidak ada alarm, tidak ada kamera. Siapa pun bisa masuk, mengambil apa yang mereka mau, dan pergi tanpa jejak. Itulah kondisi keamanan siber sebagian besar startup dan UKM digital di Indonesia hari ini.

    Banyak pemilik bisnis dan pendiri startup masih beranggapan: “Saya bukan target. Hacker hanya mengincar bank besar, perusahaan multinasional, atau pemerintah.” Anggapan ini bukan hanya salah, ini berbahaya. Dan ini tepatnya yang membuat bisnis kecil dan menengah menjadi target yang lebih menarik bagi sebagian besar pelaku kejahatan siber.

    Faktanya: Indonesia adalah negara yang paling banyak diserang serangan siber di Asia Tenggara pada 2026. Rata-rata, organisasi di Indonesia menerima ribuan serangan siber setiap minggu. Dan mayoritas korbannya bukan Fortune 500, melainkan bisnis seperti milik Anda.

    Mengapa Startup dan UKM Justru Lebih Menarik bagi Pelaku Kejahatan Siber?

    Logikanya sederhana: hacker mencari keuntungan maksimal dengan risiko minimal. Perusahaan besar memiliki tim keamanan siber penuh waktu, sistem monitoring canggih, dan prosedur respons insiden yang matang. Startup dan UKM, di sisi lain, sering kali:

    • Tidak memiliki tim IT keamanan khusus
    • Menggunakan password yang sama di banyak akun
    • Belum mengaktifkan autentikasi dua faktor (2FA)
    • Menyimpan data pelanggan tanpa enkripsi yang memadai
    • Menggunakan software bajakan atau tidak diperbarui

    60% target ransomware global adalah UKM, bukan korporasi besar. Alasannya: UKM memiliki data berharga (data pelanggan, rekening bisnis, sistem kasir), tetapi jarang memiliki backup yang memadai atau tim respons insiden. Artinya, tekanan untuk membayar tebusan jauh lebih besar.

    Biaya rata-rata satu insiden siber terhadap UKM: $25.000 sampai $50.000, atau setara ratusan juta rupiah — cukup untuk menutup bisnis yang baru berjalan beberapa tahun.

    5 Ancaman Siber Paling Umum yang Mengancam Startup Indonesia di 2026

    1️⃣ Ransomware via Email Phishing

    Ransomware adalah jenis malware yang mengenkripsi semua file di komputer Anda, lalu meminta tebusan agar Anda bisa mengaksesnya kembali. Cara masuknya paling sering melalui email yang terlihat sah, seolah dari kurir, bank, atau mitra bisnis, tetapi mengandung lampiran berbahaya.

    Bayangkan: seluruh data pelanggan Tokopedia seller Anda, laporan keuangan, database GoPay merchant semua terkunci. Anda tidak bisa operasional. Setiap jam, kerugian bertambah.

    2️⃣ Pencurian Data Pelanggan

    Data pelanggan seperti nama, email, nomor telepon, alamat, riwayat transaksi yang memiliki nilai tinggi di pasar gelap. Hacker yang berhasil mengakses database bisnis Anda bisa menjual data tersebut, menggunakannya untuk penipuan, atau mengancam untuk mempublikasikannya kecuali Anda membayar.

    Di bawah UU Perlindungan Data Pribadi (UU PDP) yang berlaku sejak 2024, kebocoran data pelanggan wajib dilaporkan dan dapat mengakibatkan sanksi, tidak ada pengecualian untuk UKM.

    3️⃣ Penipuan Email Bisnis (Business Email Compromise / BEC)

    Hacker meretas atau meniru akun email pimpinan perusahaan, lalu mengirimkan instruksi transfer ke tim keuangan. Email terlihat sah, menggunakan nama dan gaya penulisan yang familiar, dan mendesak tindakan segera.

    Korban BEC di Indonesia meningkat signifikan seiring adopsi email bisnis yang meluas. WhatsApp Business dan email Google Workspace yang tidak dilindungi 2FA adalah target utama.

    4️⃣ Cryptomining via Server Cloud yang Salah Konfigurasi

    Startup yang menggunakan layanan cloud (AWS, Google Cloud, DigitalOcean) sering kali salah mengkonfigurasi pengaturan akses, tanpa disadari membuka akses ke server mereka untuk publik. Hacker memanfaatkan ini bukan untuk mencuri data, tetapi untuk menjalankan program penambangan cryptocurrency menggunakan sumber daya komputasi Anda, yang berarti tagihan cloud Anda melonjak drastis.

    5️⃣ Serangan Rantai Pasokan Digital

    Plugin WordPress, ekstensi browser, aplikasi pihak ketiga yang terintegrasi dengan sistem Anda, semuanya adalah potensi pintu masuk. Kelompok APT Lotus Blossom, yang aktif di Asia Tenggara, telah menargetkan startup teknologi regional melalui software populer yang sudah dikompromikan.

    Apa yang Terjadi Jika Bisnis Anda Terkena Serangan Siber?

    Mari kita bicara nyata. Ketika bisnis kecil terkena serangan siber:

    • Operasional berhenti. Tidak bisa mengakses sistem POS, database pelanggan, atau platform e-commerce.
    • Kerugian langsung. Kehilangan transaksi, biaya pemulihan data, potensi pembayaran tebusan.
    • Kehilangan kepercayaan pelanggan. Berita kebocoran data menyebar cepat, terutama di era media sosial.
    • Sanksi regulasi. UU PDP dan regulasi BSSN No. 1/2024 mengharuskan pelaporan insiden siber, kegagalan melapor menambah masalah hukum.
    • Dampak jangka panjang. Reputasi bisnis yang rusak butuh waktu lama untuk dipulihkan, bahkan setelah sistem teknis kembali normal.

    ✅ Checklist 5 Langkah Praktis yang Bisa Dilakukan Hari Ini

    Kabar baiknya: ada langkah-langkah dasar yang tidak membutuhkan anggaran besar tetapi memberikan perlindungan signifikan.

    Langkah 1: Aktifkan Autentikasi Dua Faktor (2FA) di Semua Akun Penting

    Email bisnis (Gmail/Google Workspace), akun Tokopedia Seller, OVO bisnis, GoPay merchant, internet banking, dan platform cloud, semua harus dilindungi 2FA. Ini adalah satu langkah yang paling efektif mencegah pengambilalihan akun, meskipun password Anda bocor.

    Cara: Masuk ke pengaturan keamanan masing-masing platform dan aktifkan “Two-Step Verification” atau “Autentikasi 2 Langkah.” Gunakan aplikasi Google Authenticator atau SMS OTP.

    Langkah 2: Backup Data Secara Otomatis Setiap Hari

    Ransomware kehilangan kekuatannya jika Anda memiliki backup terbaru. Atur backup otomatis harian ke lokasi yang terpisah dari sistem utama: cloud storage (Google Drive, Dropbox bisnis) ATAU hard drive eksternal yang tidak selalu terhubung ke komputer.

    Aturan 3-2-1: 3 salinan data, di 2 media berbeda, dengan 1 salinan di lokasi berbeda (offsite atau cloud).

    Langkah 3: Latih Semua Karyawan Mengenali Email Phishing

    Satu karyawan yang mengklik lampiran berbahaya bisa menghancurkan seluruh sistem. Pelatihan singkat 1 jam per tahun terbukti mengurangi risiko phishing lebih dari 60%. Ajarkan tim Anda untuk:

    • Selalu periksa alamat email pengirim dengan teliti (bukan hanya nama tampilan)
    • Jangan pernah mengklik lampiran dari pengirim yang tidak dikenal
    • Hubungi pengirim melalui saluran lain jika menerima instruksi transfer yang mencurigakan
    • Laporkan email mencurigakan ke tim IT atau pimpinan

    Langkah 4: Perbarui Semua Software Secara Rutin

    Software yang tidak diperbarui mengandung kelemahan keamanan yang sudah diketahui publik, dan oleh hacker. Aktifkan pembaruan otomatis untuk sistem operasi, browser, aplikasi bisnis, dan plugin website.

    Jika menggunakan WordPress, perbarui plugin dan tema secara berkala. Plugin WordPress yang usang adalah salah satu vektor serangan paling umum untuk website UKM Indonesia.

    Langkah 5: Gunakan Password yang Kuat dan Unik untuk Setiap Akun

    Password seperti “toko123” atau “namabisnis2024” dapat diretas dalam hitungan detik. Gunakan password manager seperti Bitwarden (gratis) atau 1Password untuk membuat dan menyimpan password yang kuat dan unik untuk setiap akun. Jangan pernah menggunakan password yang sama di lebih dari satu akun.

    Seberapa Besar Biaya Keamanan Siber vs. Biaya Insiden?

    Ini perbandingan yang perlu dipertimbangkan setiap pemilik bisnis:

    Biaya Perlindungan Biaya Jika Tidak Terlindungi
    Layanan monitoring keamanan dasar: mulai dari jutaan rupiah/bulan Rata-rata kerugian ransomware UKM: ratusan juta rupiah
    Pelatihan anti-phishing karyawan: 1 jam/tahun Kehilangan kepercayaan pelanggan: permanen
    Password manager: gratis, ratusan ribu rupiah/bulan Sanksi UU PDP: belum ditetapkan, namun signifikan
    Backup cloud otomatis: puluhan ribu, ratusan ribu rupiah/bulan Downtime operasional: ratusan juta rupiah per hari

    Investasinya kecil. Konsekuensi tidak berinvestasi bisa fatal untuk bisnis.

    Bagaimana Peris.ai Membantu Startup dan UKM Indonesia?

    Peris.ai adalah perusahaan keamanan siber berbasis agentic AI yang berkantor di Singapura, Indonesia (Jakarta), dan UAE. Kami memahami bahwa tidak semua bisnis memiliki tim SOC internal yang lengkap, itulah mengapa solusi kami dirancang untuk berbagai skala bisnis, termasuk startup dan UKM yang baru membangun fondasi keamanan digitalnya.

    Pandava adalah layanan penetration testing (uji penetrasi) Peris.ai, langkah penting bagi startup yang ingin tahu seberapa aman sistem mereka sebelum hacker menemukannya lebih dulu. Pandava mensimulasikan serangan nyata terhadap website, aplikasi mobile, dan infrastruktur cloud Anda, lalu menghasilkan laporan lengkap tentang celah yang ditemukan beserta rekomendasi perbaikannya. Seperti memanggil “pencuri profesional” untuk menguji keamanan toko Anda, lebih baik tahu sekarang daripada setelah kejadian.

    Korava adalah platform bug bounty Peris.ai yang memungkinkan bisnis Anda memanfaatkan komunitas peneliti keamanan siber untuk menemukan kerentanan di sistem Anda secara berkelanjutan. Alih-alih mengandalkan satu tim internal, Korava menghubungkan Anda dengan ratusan ethical hacker yang dibayar hanya ketika mereka berhasil menemukan bug nyata, model yang efisien secara biaya untuk UKM yang ingin keamanan berlapis tanpa anggaran besar. Ini adalah cara startup-startup teknologi terkemuka dunia menjaga keamanan produk mereka secara proaktif.

    Layanan Konsultasi 1-1 Peris.ai tersedia bagi startup yang membutuhkan panduan keamanan siber yang disesuaikan dengan kebutuhan dan anggaran spesifik mereka. Tim Peris.ai terdiri dari praktisi dengan pengalaman lebih dari 10 tahun di red team dan operasional SOC.

    Peris.ai juga terdaftar di BSSN (Badan Siber dan Sandi Negara), memberikan keyakinan tambahan bahwa layanan yang Anda dapatkan memenuhi standar keamanan siber nasional Indonesia.

    Tidak Ada “Terlalu Kecil untuk Diserang”

    Setiap bisnis yang memiliki data pelanggan, rekening bisnis, atau sistem digital adalah target potensial. Semakin besar adopsi digital, semakin Anda mengandalkan GoPay, Tokopedia, WhatsApp Business, Google Workspace, dan layanan cloud semakin besar pula permukaan serangan yang perlu dilindungi.

    Pernyataan “saya terlalu kecil untuk diserang” adalah yang paling diharapkan oleh pelaku kejahatan siber untuk terus Anda percayai.

    Indonesia mencatat rata-rata ribuan serangan siber per minggu per organisasi. Serangan berikutnya mungkin mengincar bisnis Anda dan pertanyaannya bukan jika, tapi kapan. Persiapan hari ini menentukan dampaknya saat itu terjadi.

    Kunjungi Peris.ai dan temukan solusi keamanan siber berbasis AI yang akan memperkuat pertahanan digital Anda dari ancaman modern. Mulai dengan konsultasi gratis dan pahami apa saja yang perlu dilindungi dalam bisnis Anda!

    Pertanyaan yang Sering Diajukan

    Apakah bisnis kecil benar-benar menjadi target hacker?

    Ya, dan sangat sering. 60% target ransomware global adalah UKM karena mereka memiliki data berharga tetapi pertahanan yang lebih lemah. Indonesia adalah negara paling banyak diserang di Asia Tenggara pada 2026.

    Apa langkah pertama yang harus dilakukan untuk melindungi bisnis dari serangan siber?

    Aktifkan autentikasi dua faktor (2FA) di semua akun penting, email bisnis, perbankan digital, platform e-commerce, dan layanan cloud. Ini adalah langkah paling efektif dengan biaya nol.

    Apakah UU PDP berlaku untuk UKM dan startup?

    Ya. UU Perlindungan Data Pribadi Indonesia yang berlaku sejak 2024 tidak memiliki pengecualian berdasarkan ukuran bisnis. Setiap bisnis yang memproses data pribadi pelanggan wajib mematuhi ketentuan perlindungan data, termasuk kewajiban pelaporan kebocoran.

    Berapa biaya rata-rata serangan siber terhadap UKM?

    Biaya rata-rata insiden siber terhadap UKM berkisar $25.000 hingga $50.000 (atau setara ratusan juta rupiah) menurut data FBI IC3 2024. Ini belum termasuk kerugian operasional, kerusakan reputasi, dan potensi sanksi regulasi.

    Bagaimana cara mengetahui apakah bisnis saya sudah jadi target serangan siber?

    Tanda-tanda umum: kecepatan sistem yang tiba-tiba melambat, tagihan cloud yang melonjak tidak wajar, akun yang mengirim email tanpa sepengetahuan Anda, atau pelanggan melaporkan menerima pesan mencurigakan dari akun bisnis Anda. Jika Anda mencurigai adanya insiden, segera hubungi tenaga ahli keamanan siber.