# A Malicious Activity Leads to Cyberattack Ransomware ## Pendahuluan Ancaman siber merupakan disrupsi nyata yang menjadi ancaman bagi keberlangsungan suatu organisasi maupun perusahaan pada era digital yang penuh interkoneksi. Salah satu bentuk dari ancaman digital yang saat ini menimbulkan disrupsi yang besar adalah *ransomware*. *Ransomware* merupakan alat yang digunakan oleh *cyber criminals* yang bertujuan untuk mengenkripsi data di perangkat *endpoint*) korban seperti PC, Laptop, Server, Database ataupun perangkat lainnya yang menyimpan data penting. Setelah melakukan enkripsi pada perangkat korban, selanjutnya *cyber criminals* ini menuntut tebusan kepada korban, biasanya dengan iming-iming akan diberikan kunci dekripsi untuk membuka *file*. *Ransomware* telah menjadi ancaman global yang signifikan. Menurut laporan dari Cybersecurity Ventures, pada tahun 2021, kerugian akibat serangan *ransomware* diperkirakan mencapai lebih dari US$20 miliar secara global. Dikutip dari laman Kaspersky, serangan *ransomware* yang terkenal tercatat adalah WannaCry dengan total kerugian sebesar US$4 miliar termasuk kerugian atas hilangnya potensi bisnis, *data breach* dan hal-hal *intangible* lainnya. Saat ini berbagai negara juga mengalami hal serupa, contoh saja pada tahun 2022 menurut laporan IBM sebanyak 550 organisasi multi nasional dengan industri mulai dari *healthcare*, energi, sampai perbankan dan termasuk 17 negara mengalami kerugian atas insiden siber yang mencapai US$4.35 miliar, negara – negara tersebut antara lain United States, Canada, Jepang dan Australia. Indonesia menjadi salah satu yang tak luput menjadi sasaran serangan kelompok *ransomware*, beberapa kejadian serangan siber seperti serangan dari kelompok LockBit 3.0 yang menyerang Bank Syariah Indonesia tak luput menjadi perbincangan hangat ditengah masyarakat. Dampaknya tak hanya kerugian finansial, namun juga reputasi perusahaan dan hilangnya akses atas kebutuhan nasabah akibat serangan tersebut. Dengan risiko dan dampak yang besar pada kelangsungan bisnis yang telah dijelaskan sebelumnya, kami coba untuk menjelaskan lebih rinci mengenai *ransomware* meliputi cara kerja, metode serangan, serta langkah-langkah mitigasinya. ## Bagian 1 - Bagaimana Ransomware Bekerja? *Ransomware* adalah serangan yang kompleks nan berbahaya yang ditujukan pada titik-titik penyimpanan data pada perangkat *endpoint*. Kita akan membahas secara detail tentang cara kerja *ransomware*. Mulai dari tahap infeksi (*Initial Access*), sampai dengan pemerasan (*Extortion*). Penjelasan ini akan memberikan pemahaman terkait proses serangan *ransomware*.

Secara umum, serangan *ransomware* menargetkan korban dalam kurun waktu yang lama dari proses *Initial Access* hingga *Extortion*. Proses *Initial Access* merupakan proses dimana pelaku berusaha mengakses jaringan internal dari calon korban. Teknik yang digunakan salah satunya adalah *Phishing*, yaitu pelaku mengirimkan pesan elektronik untuk mendapatkan akses ke dalam jaringan internal korban. Pada gambar 1 menunjukkan bahwa *ransomware* paling banyak tersebar dan menjadikkan pintu masuk melalui media *email*. Setelah masuk ke dalam jaringan internal korban, pelaku akan berusaha untuk melakukan *Lateral Movement*, yaitu proses dimana pelaku berusaha mengeksplorasi jaringan internal dan mengakses server kritikal korban. Setelah akses terhadap server kritikal korban didapatkan, pelaku melakukan *Exfiltration* yaitu mengambil data atau informasi tanpa sepengetahuan korban dan mentransfernya ke media penyimpanan lain. Pada dasarnya sejauh ini pelaku telah mendapatkan data atau informasi yang ia inginkan namun agar menyulitkan proses identifikasi apa yang telah terjadi pada *endpoint* atau server korban, pelaku melakukan penghapusan jejak misalnya dengan cara penghapusan logs. Setelah itu, pelaku melakukan enkripsi pada server dan endpoints korban sehingga korban tidak dapat mengakses data yang ia miliki. Setelah itu, pelaku melakukan *Extortion* dengan cara mempublish apa yang telah diretas oleh pelaku pada situs DarkWeb.

Secara rinci, proses *ransomware* memiliki 6 fase sebagai berikut: * **Fase 1 - *****Early infection***. Serangan ransomware biasanya dimulai dengan infeksi awal. Pelaku menggunakan berbagai teknik yaitu *drive-by downloads*, *email phishing*, eksploitasi kelemahan sistem, dan lain-lain untuk memasukkan *ransomware* ke dalam sistem korban seperti yang dijelaskan pada gambar 2. Salah satu metode umum adalah melalui lampiran *email* yang tampak sah atau *legitimate*. Selanjutnya, ketika korban membuka lampiran tersebut maka *ransomware* mulai dijalankan.

* **Fase 2 - *****Command & Control***. Setelah *ransomware* berhasil memasuki sistem, ia akan terhubung ke *command & control* server yang dikendalikan oleh pelaku. Hal ini dilakukan pelaku untuk memantau dan mengendalikan operasi *ransomware* dari jarak jauh (secara *remote*) tanpa disadari oleh korban. Proses ini biasanya dilakukan melalui protokol yang terenkripsi sehingga sulit untuk dideteksi. Pada gambar 5 menjelaskan bagaimana *attack flow* dari penyerang yang berusaha untuk menginfeksi *endpoint* korban dengan *ransomware*. * **Fase 3 - *****Lateral Movement***. Setelah *ransomware* berada dalam sistem dan dapat dikendalikan secara *remote*, pelaku akan mencoba menyebarkan ke komputer lain di jaringan internal. Hal Ini dilakukan dengan memanfaatkan celah keamanan atau menggunakan teknik *brute-force* untuk mendapatkan akses ke komputer lain yang terhubung. * **Fase 4 - *****Data Encryption***. Setelah *ransomware* menyebar, tahap yang paling berbahaya yaitu *ransomware* akan memulai proses “*data encryption*” dengan menggunakan *encryptor* terhadap data yang ada pada *endpoint* dan server di jaringan internal. Proses enkripsi menggunakan algoritma enkripsi yang sangat kuat, seperti AES atau RSA untuk mengubah data menjadi format yang tidak dapat dibaca tanpa kunci dekripsinya. * **Fase 5 - *****Extortion***. Setelah semua file terenkripsi, *ransomware* akan menampilkan pesan tebusan kepada korban biasanya dengan meninggalkan *file* dengan format `.txt` yang berisikan ancaman, prosedur pemulihan data dan link DarkWeb yang dapat diakses agar kunci dekripsi (sebagai *decryptor* data) dapat dikirimkan. Pelaku sering menggunakan *cryptocurrency*, seperti Bitcoin dan Monero, agar pembayaran sulit dilacak. Pesan tebusan juga sering kali berisi ancaman bahwa data disebarluaskan kepada publik jika tebusan tidak dibayarkan dalam batas waktu yang telah ditentukan seperti pada gambar 4.

Gambar 4 - Ransomware Notes & Extortion Deadlines

* **Fase 6 - *****Payment & Data Decryption*****.** Sebelum membayar tebusan, biasanya pelaku menyediakan fitur chat kepada korban untuk menguji data yang dimiliki oleh pelaku agar meyakinkan bahwa data yang telah dicuri sesuai, selanjutkan dilakukan negosiasi harga tebusan untuk data tersebut agar tidak dipublikasikan. Jika korban memutuskan untuk membayar tebusan, ia akan mengikuti instruksi yang diberikan oleh pelaku. Setelah pembayaran diterima, pelaku akan mengirimkan kunci dekripsi (*decryptor*) kepada korban. Dengan menggunakan kunci tersebut, korban dapat mendekripsi data mereka dan mengembalikannya ke keadaan semula serta publikasi terhadap data tidak dilakukan. Namun, penting untuk dicatat bahwa tidak ada jaminan bahwa pelaku akan memenuhi janji mereka setelah menerima pembayaran. Oleh karena itu, para ahli keamanan dan penegak hukum selalu menyarankan untuk tidak membayar tebusan, karena hal ini dapat memperkuat model bisnis kriminal pelaku dan tidak menjamin pemulihan data.

## Bagian 2 – Attack Methods Pada banyak kasus, serangan tersebut sangat mungkin terjadi tanpa sepengetahuan korban dan biasanya korban juga dengan sengaja membuka atau memberikan jalan kepada pelaku, sebagai contoh ketika korban mengakses situs untuk menonton film bajakan, tanpa disadari ketika korban tersebut mengklik play yang selanjutnya akan terdownload suatu file yang berisikan *remote access tool* (RAT). Setelah pelaku memiliki akses administratif pada *endpoint* tersebut, pelaku memindai mana saja data yang memiliki valuasi tinggi dan setelahnya dilakukan enkripsi terhadap file atau data tersebut. Tanpa disadari korban, seluruh file penting telah terenkripsi dan bahkan telah diambil (*exfiltration*) oleh pelaku dan siap untuk disebarluaskan. ## Bagian 3 – Vulnerability Impact Serangan *ransomware* dapat memiliki dampak yang serius dan konsekuensi jangka panjang bagi korban. Dampak yang mungkin terjadi, seperti kerugian finansial, kehilangan data penting, reputasi yang rusak, dan gangguan operasional. Setelah kita memahami atas konsekuensi serangan *ransomware*, kita akan memiliki *awareness* untuk melindungi diri dari ancaman ini. Terdapat contoh kasus yang dialami oleh T–Mobile pada tahun 2023, mereka terkena serangan *ransomware* yang mengakibatkan 37 Juta data pelanggan mereka bocor, dan data tersebut tersebar baik dari pengguna *prepaid* ataupun *postpaid*. Hal ini menjadikan efek domino bukan hanya kerugian secara materil pagi T-Mobile namun juga bagi pengguna, dikarenakan data pribadi bocor maka pengguna tidak lagi memiliki privasi, bahkan data mereka diperjual belikan pada situs darkweb. Dampak atas *ransomware* ini lagi – lagi bukan hanya berimplikasi pada suatu instansi saja namun juga memiliki *butterfly effect* atas insiden yang dialami oleh suatu organisasi penyedia jasa bahkan pemerintah. ## Bagian 4 – How to Mitigate Ransomware Pada bagian terakhir, kita akan membahas langkah-langkah mitigasi yang dapat diambil untuk mengurangi risiko terkena serangan *ransomware*. Langkah-langkah ini meliputi perbarui sistem secara teratur, buat cadangan data yang teratur, tingkatkan kesadaran akan *email phishing*, gunakan solusi keamanan yang andal, dan lakukan pelatihan keamanan kepada pengguna. Dengan mengimplementasikan langkah-langkah ini, tingkat keamanan yang kita miliki menjadi lebih baik, selain itu juga dapat lebih melindungi diri dari serangan *ransomware*. Secara *best practice*, *National Institute of Standards and Technology* (NIST) telah merilis *Cybersecurity Framework* yang dapat dijadikan acuan untuk memitigasi serangan *ransomware*. Secara umum terdapat 5 langkah yang harus dilakukan untuk mempersiapkan suatu organisasi dalam menghadapi *ransomware*. Adapun 5 langkah tersebut adalah *Identify*, *Detect*, *Protect*, *Respond*, dan *Recover*.

1. ***Identify***. Pada fase *identify*, suatu organisasi atau perusahaan harus memahami metode yang dapat dilakukan untuk menghadapi dan memitigasi risiko serangan siber dari berbagai macam aspek, seperti *system*, *people*, *assets*, data, dan *capability*. Apabila suatu organisasi atau perusahaan sudah mampu mengidentifikasi aspek-aspek tersebut beserta paparan risiko yang terdapat didalamnya, maka organisasi atau perusahaan tersebut dapat mengetahui langkah yang sesuai untuk meminimalisasi risiko serangan siber. 2. ***Protect*****.** Fase *protect* menggarisbawahi pentingnya pengamanan untuk memastikan *availability* dari layanan. Fase ini merupakan salah satu fase paling krusial untuk memastikan layanan dapat terhindar dari serangan *ransomware*. Pelindungan terhadap infrastruktur pada fase *protect* dapat dilakukan dengan melakukan penerapan *Identity Management & Access Control*, melakukan *security training & security awareness*, serta penggunaan *protective technology*. 3. ***Detect*****.** Pada fase *detect*, terdapat serangkaian aktivitas yang dapat dilakukan untuk melakukan deteksi terhadap *cybersecurity event*. Sistem pendeteksian *ransomware* yang baik dapat membantu organisasi atau perusahaan untuk melakukan reaksi sesegera mungkin setelah *ransomware* terdeteksi menyerang infrastruktur. Adapun mekanisme deteksi yang baik menurut *framework* ini dapat dilakukan dengan pendefinisian *anomaly & event* serta pemahaman terhadap *impact* dari *anomaly & event* tersebut, implementasi *security monitoring* secara berkelanjutan, dan pendefinisian fungsi dari unit kerja yang terkait dalam proses pendeteksian *ransomware* pada infrastruktur. 4. ***Respond*****.** Fase *respond* mendalami aktivitas yang perlu dilakukan setelah *ransomware* terdeteksi. Tahap ini penting dilakukan untuk mengurangi dampak dari serangan *ransomware*. Beberapa hal yang perlu diperhatikan pada fase *respond* antara lain, mekanisme *incident response*, komunikasi dengan stakeholder, analisis dan investigasi terhadap insiden *ransomware*, serta mitigasi yang dilakukan segera setelah insiden *ransomware* terdeteksi. 5. ***Recover*****.** Pada fase *recover*, suatu organisasi atau perusahaan dituntut untuk mampu melakukan aktivitas yang dapat memulihkan kemampuan layanan seperti sediakala. Hal yang dapat dilakukan pada tahap ini yaitu *recovery planning*, pencatatan *lesson learned*, serta komunikasi untuk memulihkan reputasi organisasi atau perusahaan. ## Kesimpulan *Ransomware* merupakan ancaman serius yang dapat menyebabkan kerugian besar bagi individu, perusahaan, dan organisasi. Dalam artikel ini, kita telah membahas secara mendalam mengenai *ransomware*, termasuk cara kerja, metode serangan, serta langkah-langkah mitigasinya. Penting bagi kita semua untuk menjaga keamanan digital kita dan meningkatkan kesadaran tentang serangan *ransomware*. ## Tentang Penulis

Fariz Atsari Samanha, S.Kom, CHFI, Senior Auditor at Bank Mandiri

Achmad Faiz Siraj, S.T, CHFI, Auditor at Bank Mandiri

Ahmad Fauzi, S.T, CHFI, Auditor at Bank Mandiri

####