oleh Fariz Atsari Samanha, Achmad Faiz Siraj, Ahmad Fauzi
Last updated
Ancaman siber merupakan disrupsi nyata yang menjadi ancaman bagi keberlangsungan suatu organisasi maupun perusahaan pada era digital yang penuh interkoneksi. Salah satu bentuk dari ancaman digital yang saat ini menimbulkan disrupsi yang besar adalah ransomware. Ransomware merupakan alat yang digunakan oleh cyber criminals yang bertujuan untuk mengenkripsi data di perangkat endpoint) korban seperti PC, Laptop, Server, Database ataupun perangkat lainnya yang menyimpan data penting. Setelah melakukan enkripsi pada perangkat korban, selanjutnya cyber criminals ini menuntut tebusan kepada korban, biasanya dengan iming-iming akan diberikan kunci dekripsi untuk membuka file.
Ransomware telah menjadi ancaman global yang signifikan. Menurut laporan dari Cybersecurity Ventures, pada tahun 2021, kerugian akibat serangan ransomware diperkirakan mencapai lebih dari US$20 miliar secara global. Dikutip dari laman Kaspersky, serangan ransomware yang terkenal tercatat adalah WannaCry dengan total kerugian sebesar US$4 miliar termasuk kerugian atas hilangnya potensi bisnis, data breach dan hal-hal intangible lainnya. Saat ini berbagai negara juga mengalami hal serupa, contoh saja pada tahun 2022 menurut laporan IBM sebanyak 550 organisasi multi nasional dengan industri mulai dari healthcare, energi, sampai perbankan dan termasuk 17 negara mengalami kerugian atas insiden siber yang mencapai US$4.35 miliar, negara – negara tersebut antara lain United States, Canada, Jepang dan Australia. Indonesia menjadi salah satu yang tak luput menjadi sasaran serangan kelompok ransomware, beberapa kejadian serangan siber seperti serangan dari kelompok LockBit 3.0 yang menyerang Bank Syariah Indonesia tak luput menjadi perbincangan hangat ditengah masyarakat. Dampaknya tak hanya kerugian finansial, namun juga reputasi perusahaan dan hilangnya akses atas kebutuhan nasabah akibat serangan tersebut.
Dengan risiko dan dampak yang besar pada kelangsungan bisnis yang telah dijelaskan sebelumnya, kami coba untuk menjelaskan lebih rinci mengenai ransomware meliputi cara kerja, metode serangan, serta langkah-langkah mitigasinya.
Ransomware adalah serangan yang kompleks nan berbahaya yang ditujukan pada titik-titik penyimpanan data pada perangkat endpoint. Kita akan membahas secara detail tentang cara kerja ransomware. Mulai dari tahap infeksi (Initial Access), sampai dengan pemerasan (Extortion). Penjelasan ini akan memberikan pemahaman terkait proses serangan ransomware.
Secara umum, serangan ransomware menargetkan korban dalam kurun waktu yang lama dari proses Initial Access hingga Extortion. Proses Initial Access merupakan proses dimana pelaku berusaha mengakses jaringan internal dari calon korban. Teknik yang digunakan salah satunya adalah Phishing, yaitu pelaku mengirimkan pesan elektronik untuk mendapatkan akses ke dalam jaringan internal korban. Pada gambar 1 menunjukkan bahwa ransomware paling banyak tersebar dan menjadikkan pintu masuk melalui media email.
Setelah masuk ke dalam jaringan internal korban, pelaku akan berusaha untuk melakukan Lateral Movement, yaitu proses dimana pelaku berusaha mengeksplorasi jaringan internal dan mengakses server kritikal korban. Setelah akses terhadap server kritikal korban didapatkan, pelaku melakukan Exfiltration yaitu mengambil data atau informasi tanpa sepengetahuan korban dan mentransfernya ke media penyimpanan lain. Pada dasarnya sejauh ini pelaku telah mendapatkan data atau informasi yang ia inginkan namun agar menyulitkan proses identifikasi apa yang telah terjadi pada endpoint atau server korban, pelaku melakukan penghapusan jejak misalnya dengan cara penghapusan logs. Setelah itu, pelaku melakukan enkripsi pada server dan endpoints korban sehingga korban tidak dapat mengakses data yang ia miliki. Setelah itu, pelaku melakukan Extortion dengan cara mempublish apa yang telah diretas oleh pelaku pada situs DarkWeb.
Secara rinci, proses ransomware memiliki 6 fase sebagai berikut:
Fase 1 - Early infection. Serangan ransomware biasanya dimulai dengan infeksi awal. Pelaku menggunakan berbagai teknik yaitu drive-by downloads, email phishing, eksploitasi kelemahan sistem, dan lain-lain untuk memasukkan ransomware ke dalam sistem korban seperti yang dijelaskan pada gambar 2. Salah satu metode umum adalah melalui lampiran email yang tampak sah atau legitimate. Selanjutnya, ketika korban membuka lampiran tersebut maka ransomware mulai dijalankan.
Fase 2 - Command & Control. Setelah ransomware berhasil memasuki sistem, ia akan terhubung ke command & control server yang dikendalikan oleh pelaku. Hal ini dilakukan pelaku untuk memantau dan mengendalikan operasi ransomware dari jarak jauh (secara remote) tanpa disadari oleh korban. Proses ini biasanya dilakukan melalui protokol yang terenkripsi sehingga sulit untuk dideteksi. Pada gambar 5 menjelaskan bagaimana attack flow dari penyerang yang berusaha untuk menginfeksi endpoint korban dengan ransomware.
Fase 3 - Lateral Movement. Setelah ransomware berada dalam sistem dan dapat dikendalikan secara remote, pelaku akan mencoba menyebarkan ke komputer lain di jaringan internal. Hal Ini dilakukan dengan memanfaatkan celah keamanan atau menggunakan teknik brute-force untuk mendapatkan akses ke komputer lain yang terhubung.
Fase 4 - Data Encryption. Setelah ransomware menyebar, tahap yang paling berbahaya yaitu ransomware akan memulai proses “data encryption” dengan menggunakan encryptor terhadap data yang ada pada endpoint dan server di jaringan internal. Proses enkripsi menggunakan algoritma enkripsi yang sangat kuat, seperti AES atau RSA untuk mengubah data menjadi format yang tidak dapat dibaca tanpa kunci dekripsinya.
Fase 5 - Extortion. Setelah semua file terenkripsi, ransomware akan menampilkan pesan tebusan kepada korban biasanya dengan meninggalkan file dengan format .txt yang berisikan ancaman, prosedur pemulihan data dan link DarkWeb yang dapat diakses agar kunci dekripsi (sebagai decryptor data) dapat dikirimkan. Pelaku sering menggunakan cryptocurrency, seperti Bitcoin dan Monero, agar pembayaran sulit dilacak. Pesan tebusan juga sering kali berisi ancaman bahwa data disebarluaskan kepada publik jika tebusan tidak dibayarkan dalam batas waktu yang telah ditentukan seperti pada gambar 4.
Fase 6 - Payment & Data Decryption. Sebelum membayar tebusan, biasanya pelaku menyediakan fitur chat kepada korban untuk menguji data yang dimiliki oleh pelaku agar meyakinkan bahwa data yang telah dicuri sesuai, selanjutkan dilakukan negosiasi harga tebusan untuk data tersebut agar tidak dipublikasikan. Jika korban memutuskan untuk membayar tebusan, ia akan mengikuti instruksi yang diberikan oleh pelaku. Setelah pembayaran diterima, pelaku akan mengirimkan kunci dekripsi (decryptor) kepada korban. Dengan menggunakan kunci tersebut, korban dapat mendekripsi data mereka dan mengembalikannya ke keadaan semula serta publikasi terhadap data tidak dilakukan. Namun, penting untuk dicatat bahwa tidak ada jaminan bahwa pelaku akan memenuhi janji mereka setelah menerima pembayaran. Oleh karena itu, para ahli keamanan dan penegak hukum selalu menyarankan untuk tidak membayar tebusan, karena hal ini dapat memperkuat model bisnis kriminal pelaku dan tidak menjamin pemulihan data.
Pada banyak kasus, serangan tersebut sangat mungkin terjadi tanpa sepengetahuan korban dan biasanya korban juga dengan sengaja membuka atau memberikan jalan kepada pelaku, sebagai contoh ketika korban mengakses situs untuk menonton film bajakan, tanpa disadari ketika korban tersebut mengklik play yang selanjutnya akan terdownload suatu file yang berisikan remote access tool (RAT). Setelah pelaku memiliki akses administratif pada endpoint tersebut, pelaku memindai mana saja data yang memiliki valuasi tinggi dan setelahnya dilakukan enkripsi terhadap file atau data tersebut. Tanpa disadari korban, seluruh file penting telah terenkripsi dan bahkan telah diambil (exfiltration) oleh pelaku dan siap untuk disebarluaskan.
Serangan ransomware dapat memiliki dampak yang serius dan konsekuensi jangka panjang bagi korban. Dampak yang mungkin terjadi, seperti kerugian finansial, kehilangan data penting, reputasi yang rusak, dan gangguan operasional. Setelah kita memahami atas konsekuensi serangan ransomware, kita akan memiliki awareness untuk melindungi diri dari ancaman ini. Terdapat contoh kasus yang dialami oleh T–Mobile pada tahun 2023, mereka terkena serangan ransomware yang mengakibatkan 37 Juta data pelanggan mereka bocor, dan data tersebut tersebar baik dari pengguna prepaid ataupun postpaid. Hal ini menjadikan efek domino bukan hanya kerugian secara materil pagi T-Mobile namun juga bagi pengguna, dikarenakan data pribadi bocor maka pengguna tidak lagi memiliki privasi, bahkan data mereka diperjual belikan pada situs darkweb. Dampak atas ransomware ini lagi – lagi bukan hanya berimplikasi pada suatu instansi saja namun juga memiliki butterfly effect atas insiden yang dialami oleh suatu organisasi penyedia jasa bahkan pemerintah.
Pada bagian terakhir, kita akan membahas langkah-langkah mitigasi yang dapat diambil untuk mengurangi risiko terkena serangan ransomware. Langkah-langkah ini meliputi perbarui sistem secara teratur, buat cadangan data yang teratur, tingkatkan kesadaran akan email phishing, gunakan solusi keamanan yang andal, dan lakukan pelatihan keamanan kepada pengguna. Dengan mengimplementasikan langkah-langkah ini, tingkat keamanan yang kita miliki menjadi lebih baik, selain itu juga dapat lebih melindungi diri dari serangan ransomware.
Secara best practice, National Institute of Standards and Technology (NIST) telah merilis Cybersecurity Framework yang dapat dijadikan acuan untuk memitigasi serangan ransomware. Secara umum terdapat 5 langkah yang harus dilakukan untuk mempersiapkan suatu organisasi dalam menghadapi ransomware. Adapun 5 langkah tersebut adalah Identify, Detect, Protect, Respond, dan Recover.
Identify. Pada fase identify, suatu organisasi atau perusahaan harus memahami metode yang dapat dilakukan untuk menghadapi dan memitigasi risiko serangan siber dari berbagai macam aspek, seperti system, people, assets, data, dan capability. Apabila suatu organisasi atau perusahaan sudah mampu mengidentifikasi aspek-aspek tersebut beserta paparan risiko yang terdapat didalamnya, maka organisasi atau perusahaan tersebut dapat mengetahui langkah yang sesuai untuk meminimalisasi risiko serangan siber.
Protect. Fase protect menggarisbawahi pentingnya pengamanan untuk memastikan availability dari layanan. Fase ini merupakan salah satu fase paling krusial untuk memastikan layanan dapat terhindar dari serangan ransomware. Pelindungan terhadap infrastruktur pada fase protect dapat dilakukan dengan melakukan penerapan Identity Management & Access Control, melakukan security training & security awareness, serta penggunaan protective technology.
Detect. Pada fase detect, terdapat serangkaian aktivitas yang dapat dilakukan untuk melakukan deteksi terhadap cybersecurity event. Sistem pendeteksian ransomware yang baik dapat membantu organisasi atau perusahaan untuk melakukan reaksi sesegera mungkin setelah ransomware terdeteksi menyerang infrastruktur. Adapun mekanisme deteksi yang baik menurut framework ini dapat dilakukan dengan pendefinisian anomaly & event serta pemahaman terhadap impact dari anomaly & event tersebut, implementasi security monitoring secara berkelanjutan, dan pendefinisian fungsi dari unit kerja yang terkait dalam proses pendeteksian ransomware pada infrastruktur.
Respond. Fase respond mendalami aktivitas yang perlu dilakukan setelah ransomware terdeteksi. Tahap ini penting dilakukan untuk mengurangi dampak dari serangan ransomware. Beberapa hal yang perlu diperhatikan pada fase respond antara lain, mekanisme incident response, komunikasi dengan stakeholder, analisis dan investigasi terhadap insiden ransomware, serta mitigasi yang dilakukan segera setelah insiden ransomware terdeteksi.
Recover. Pada fase recover, suatu organisasi atau perusahaan dituntut untuk mampu melakukan aktivitas yang dapat memulihkan kemampuan layanan seperti sediakala. Hal yang dapat dilakukan pada tahap ini yaitu recovery planning, pencatatan lesson learned, serta komunikasi untuk memulihkan reputasi organisasi atau perusahaan.
Ransomware merupakan ancaman serius yang dapat menyebabkan kerugian besar bagi individu, perusahaan, dan organisasi. Dalam artikel ini, kita telah membahas secara mendalam mengenai ransomware, termasuk cara kerja, metode serangan, serta langkah-langkah mitigasinya. Penting bagi kita semua untuk menjaga keamanan digital kita dan meningkatkan kesadaran tentang serangan ransomware.
