Apa Itu Ransomware? Pola Serangan dan Antisipasinya
- Alex Budiyanto
- •
- 26 Jan 2024 23.11 WIB
Ransomware adalah jenis perangkat lunak berbahaya atau malware yang dirancang untuk meretas sistem komputer atau jaringan, kemudian mengenkripsi data yang ada di dalamnya. Setelah berhasil mengenkripsi data, para penyerang akan menuntut tebusan (ransom) dari pemilik data untuk memberikan kunci dekripsi yang diperlukan untuk mengembalikan akses ke data tersebut. Dalam banyak kasus, para penyerang akan mengancam untuk menghapus atau mempublikasikan data tersebut jika tebusan tidak dibayar dalam waktu tertentu.
Ransomware sering kali menyebar melalui email phishing, situs web berbahaya, atau eksploitasi kelemahan dalam sistem atau perangkat lunak yang tidak diperbarui. Setelah sukses mengenkripsi data, para penyerang akan menampilkan pesan tebusan kepada korban, yang menginstruksikan mereka tentang cara membayar tebusan yang diminta, biasanya dalam bentuk mata uang kripto seperti Bitcoin atau Ethereum. Berikut ini adalah beberapa contoh serangan ransomware yang dampaknya sangat merugikan masyarakat.
WannaCry (2017)
Salah satu serangan ransomware yang paling mencolok dan menghebohkan dalam sejarah adalah serangan WannaCry yang terjadi pada bulan Mei 2017. Serangan ini memengaruhi ribuan organisasi di lebih dari 150 negara di seluruh dunia, termasuk rumah sakit, perusahaan, lembaga pemerintah, dan infrastruktur kritis.
WannaCry menggunakan sebuah exploit yang disebut "EternalBlue" yang dikembangkan oleh NSA (National Security Agency) Amerika Serikat yang bocor ke publik oleh kelompok peretas yang dikenal sebagai Shadow Brokers. Exploit tersebut memanfaatkan kelemahan keamanan di dalam sistem operasi Windows yang belum diperbarui untuk menyebar secara cepat dan otomatis melalui jaringan, tanpa memerlukan interaksi pengguna.
Setelah berhasil memasuki sistem target, WannaCry mengenkripsi data di dalamnya dan menampilkan pesan tebusan yang meminta pembayaran dalam bentuk Bitcoin agar data tersebut dapat dikembalikan. Serangan ini sangat merugikan karena tidak hanya menginfeksi komputer individual, tetapi juga sistem-sistem kritis seperti rumah sakit, pelayanan publik, dan perusahaan besar di seluruh dunia.
WannaCry menghasilkan kepanikan global dan memicu upaya koordinasi internasional untuk merespons serangan tersebut. Meskipun serangan WannaCry telah mengakibatkan kerugian yang signifikan, respons cepat dari komunitas keamanan siber dan langkah-langkah pencegahan yang diambil setelahnya telah membantu mengurangi dampaknya.
Petya/NotPetya (2017)
Serangan Petya/NotPetya pada tahun 2017 adalah serangan ransomware yang juga sangat merusak dan menghebohkan. Serangan ini terjadi pada bulan Juni 2017 dan menargetkan sejumlah besar organisasi di seluruh dunia, dengan fokus utama pada perusahaan-perusahaan di Ukraina. Meskipun awalnya dikira sebagai serangan ransomware yang mengenkripsi data untuk mendapatkan pembayaran tebusan, seiring berjalannya waktu, serangan Petya/NotPetya diidentifikasi lebih sebagai serangan perusak yang menyamar sebagai ransomware.
Berbeda dengan serangan ransomware konvensional, tujuan utama serangan Petya/NotPetya bukanlah untuk menghasilkan uang dari pembayaran tebusan. Sebaliknya, serangan ini bertujuan untuk menghancurkan data dan mengganggu operasi organisasi-target. Serangan ini menggunakan metode yang canggih untuk menyebar dan menginfeksi sistem, termasuk menggunakan eksploitasi kelemahan keamanan yang ditemukan di berbagai perangkat lunak dan sistem operasi.
Saat serangan Petya/NotPetya pertama kali muncul, korban melaporkan bahwa komputer mereka terkunci dan menampilkan pesan tebusan yang meminta pembayaran dalam bentuk Bitcoin untuk mendapatkan kunci dekripsi. Namun, para peneliti keamanan siber kemudian menemukan bahwa alat enkripsi yang digunakan oleh Petya/NotPetya tidak didesain untuk mengembalikan data yang terenkripsi. Sebaliknya, serangan ini menghancurkan data dengan cara mengenkripsi Master Boot Record (MBR) komputer, yang membuat sistem tidak dapat diakses atau dioperasikan.
Serangan Petya/NotPetya menyebabkan kerugian yang sangat besar bagi organisasi di seluruh dunia. Banyak perusahaan besar, termasuk perusahaan energi, logistik, dan perbankan, terpengaruh oleh serangan ini. Diperkirakan kerugian finansial yang disebabkan oleh serangan Petya/NotPetya mencapai miliaran dolar.
Serangan Petya/NotPetya menunjukkan bahwa serangan siber dapat memiliki dampak yang luas dan serius, bahkan jika tujuan utamanya bukanlah mendapatkan uang dari tebusan. Serangan ini juga menyoroti pentingnya keamanan siber yang kuat dan perlindungan terhadap eksploitasi kelemahan keamanan dalam perangkat lunak dan sistem operasi yang digunakan oleh organisasi di seluruh dunia.
Maze (2019 - 2020)
Serangan Maze adalah salah satu jenis serangan ransomware yang pertama kali muncul pada tahun 2019 dan tetap aktif hingga tahun 2020. Serangan ini dikenal karena menggunakan taktik yang lebih canggih dan agresif dibandingkan dengan serangan ransomware konvensional. Berikut adalah beberapa informasi lebih lanjut tentang serangan ransomware Maze:
-
Metode Penyebaran: Serangan Maze umumnya menyebar melalui serangan phishing email yang menargetkan organisasi atau perusahaan. Email yang mengandung lampiran berbahaya atau tautan yang mengarah ke situs web yang terinfeksi akan dikirim kepada karyawan atau anggota organisasi. Ketika lampiran dibuka atau tautan diikuti, serangan Maze akan mulai menginfeksi sistem target.
-
Eksploitasi dan Pemetaan Jaringan: Setelah berhasil menginfeksi satu sistem, serangan Maze akan mulai mengidentifikasi dan mengeksploitasi kerentanan dalam jaringan korban untuk menyebar lebih jauh. Ini bisa meliputi eksploitasi kelemahan keamanan dalam perangkat lunak atau sistem operasi yang tidak diperbarui, atau menggunakan teknik serangan lateral untuk menyebar dari satu sistem ke sistem lainnya di dalam jaringan.
-
Enkripsi Data: Setelah menyebar di jaringan, serangan Maze akan mulai mengenkripsi data yang ada di setiap sistem yang terinfeksi. Ini termasuk file-file yang penting bagi operasi organisasi, seperti dokumen, database, dan file-file lainnya. Data yang telah dienkripsi tidak dapat diakses oleh pemiliknya tanpa kunci dekripsi yang tepat.
-
Pesan Tebusan dan Ancaman: Setelah berhasil mengenkripsi data, serangan Maze akan menampilkan pesan tebusan kepada korban yang memberi tahu mereka bahwa data mereka telah terenkripsi dan untuk mendapatkan kembali akses ke data tersebut, mereka harus membayar jumlah tebusan tertentu dalam bentuk mata uang kripto, biasanya Bitcoin. Para penyerang sering kali menambahkan ancaman bahwa jika tebusan tidak dibayar dalam waktu tertentu, data tersebut akan dipublikasikan atau dijual kepada pihak lain.
-
Ancaman Publikasi Data: Salah satu taktik unik dari serangan Maze adalah ancaman untuk mempublikasikan data yang telah dienkripsi jika tebusan tidak dibayar. Para penyerang sering kali memperbarui situs web mereka dengan daftar korban yang menolak membayar tebusan, serta dengan contoh data yang dicuri yang akan dipublikasikan jika tuntutan tebusan tidak dipenuhi.
Serangan Maze menunjukkan evolusi dalam taktik dan strategi serangan ransomware yang bertujuan untuk meningkatkan tekanan terhadap korban agar membayar tebusan. Ancaman untuk mempublikasikan data yang dicuri meningkatkan risiko reputasi bagi korban dan menambah dimensi baru dalam serangan ransomware modern.
Pola Serangan Ransomware
Ransomware bekerja dengan cara mengenkripsi atau mengunci data yang ada di dalam sistem korban dan kemudian menuntut pembayaran tebusan agar data tersebut bisa dikembalikan atau diakses kembali oleh pemiliknya. Berikut adalah pola serangan ransomware yang umum:
-
Infeksi: Ransomware dapat masuk ke dalam sistem korban melalui berbagai cara, termasuk melalui email phishing, situs web berbahaya, eksploitasi kelemahan dalam sistem atau perangkat lunak, atau bahkan melalui jaringan yang tidak terlindungi. Ketika ransomware berhasil masuk ke dalam sistem, serangan tersebut biasanya dimulai.
-
Penginstalan: Setelah berhasil masuk, ransomware akan mulai menginstal dirinya di dalam sistem target. Ini dapat melibatkan eksekusi berkas eksekusi yang tersembunyi atau mengunduh dan menjalankan komponen-komponen tambahan dari server kontrol komando (C&C) yang dikelola oleh penyerang.
-
Pemetaan Data: Ransomware akan memulai proses pemindaian di dalam sistem korban untuk menemukan dan mengidentifikasi data yang akan menjadi target utama untuk dienkripsi. Ini termasuk file-file dokumen, gambar, video, database, dan jenis data penting lainnya.
-
Enkripsi Data: Setelah data target telah diidentifikasi, ransomware akan menggunakan algoritme enkripsi yang kuat untuk mengenkripsi file-file tersebut. Ini mengubah struktur data di dalam file sehingga tidak dapat dibuka atau diakses tanpa kunci dekripsi yang tepat.
-
Tampilan Pesan Tebusan: Setelah proses enkripsi selesai, ransomware akan menampilkan pesan tebusan kepada korban. Pesan ini berisi informasi tentang apa yang telah terjadi, instruksi tentang cara membayar tebusan, dan ancaman terhadap data korban jika tebusan tidak dibayar dalam waktu tertentu.
-
Tebusan: Korban kemudian diminta untuk membayar tebusan kepada penyerang agar bisa mendapatkan kunci dekripsi yang diperlukan untuk mengembalikan akses ke data yang telah dienkripsi. Pembayaran tebusan biasanya diminta dalam bentuk mata uang kripto seperti Bitcoin atau Ethereum untuk meningkatkan kesulitan dalam pelacakan transaksi.
-
Pemulihan Data: Jika tebusan dibayar, penyerang kemudian memberikan kunci dekripsi kepada korban yang digunakan untuk mendekripsi data yang telah dienkripsi. Namun, tidak ada jaminan bahwa data akan sepenuhnya pulih atau tidak rusak selama proses enkripsi dan dekripsi.
Jenis Serangan Ransomware
Ada beberapa jenis serangan ransomware, yang masing-masing memiliki cara kerja dan karakteristik unik. Beberapa jenis serangan ransomware yang umum antara lain:
-
Encrypting Ransomware: Jenis serangan ini merupakan yang paling umum. Ransomware ini bekerja dengan mengenkripsi data korban dan menuntut pembayaran tebusan untuk mendapatkan kunci dekripsi yang diperlukan untuk mengembalikan akses ke data tersebut. Contoh-contoh dari jenis ini termasuk WannaCry, Petya/NotPetya, Maze, dan Ryuk.
-
Locker Ransomware: Ransomware ini mengunci akses ke sistem atau perangkat, bukan mengenkripsi data. Korban tidak dapat mengakses komputer mereka sama sekali dan diberi pesan tebusan yang meminta pembayaran agar dapat mendapatkan akses kembali. Contoh dari jenis ini termasuk Reveton dan Winlocker.
-
Scareware: Jenis ini mencoba untuk menakut-nakuti pengguna dengan menampilkan pesan palsu yang mengklaim bahwa komputer mereka telah terinfeksi atau melanggar hukum, dan mereka perlu membayar sejumlah uang untuk "memperbaiki" masalah tersebut. Scareware ini biasanya tidak mengenkripsi data, tetapi mencoba untuk menipu pengguna agar membayar tebusan dengan ancaman palsu. Contoh dari jenis ini termasuk FakeVimes dan FakePAV.
-
Doxware/Leakware: Jenis serangan ini mengancam untuk mempublikasikan atau mengekspos data sensitif yang dicuri dari sistem korban ke publik atau internet jika tebusan tidak dibayar. Ini dapat menyebabkan kerugian reputasi yang besar bagi individu atau perusahaan yang menjadi korban. Contoh dari jenis ini termasuk Conti dan REvil/Sodinokibi.
-
Mobile Ransomware: Jenis serangan ini ditargetkan pada perangkat mobile, seperti ponsel pintar dan tablet. Mobile ransomware dapat mengenkripsi data pada perangkat mobile korban atau mengunci akses ke perangkat tersebut. Contoh dari jenis ini termasuk Android.Lockscreen dan Cerberus.
Setiap jenis serangan ransomware memiliki cara kerja dan dampak yang berbeda, tetapi tujuan utamanya tetap sama: untuk memaksa korban membayar tebusan kepada penyerang untuk mendapatkan kembali akses ke data atau perangkat mereka. Oleh karena itu, sangat penting untuk memiliki langkah-langkah keamanan yang kuat dan perlindungan data yang teratur untuk melindungi diri dari serangan ransomware.
Merespon Serangan Ransomware
Jika Anda atau organisasi Anda terkena serangan ransomware, langkah-langkah yang diambil harus dipertimbangkan dengan hati-hati dan segera. Berikut adalah beberapa langkah yang dapat Anda ambil jika terkena serangan ransomware:
-
Jangan Panik: Meskipun serangan ransomware dapat menimbulkan kepanikan, penting untuk tetap tenang dan mempertahankan kepala dingin. Panik dapat membuat Anda membuat keputusan yang tidak tepat atau malah memperburuk situasi.
-
Isolasi Sistem: Segera isolasi sistem yang terinfeksi dari jaringan untuk mencegah penyebaran lebih lanjut dari ransomware ke sistem lain di jaringan Anda.
-
Laporkan Serangan: Laporkan serangan kepada tim keamanan siber internal Anda atau penyedia layanan keamanan siber Anda agar mereka dapat mulai mengambil langkah-langkah penanganan dan pemulihan yang tepat.
-
Tinjau Backup: Jika Anda memiliki cadangan data yang teratur dan terkini, tinjau backup tersebut untuk memastikan bahwa data tersebut dapat dipulihkan dan digunakan sebagai alternatif untuk memulihkan data yang telah dienkripsi.
-
Jangan Bayar Tebusan: Meskipun mungkin terasa frustasi atau mudah untuk membayar tebusan untuk mendapatkan kembali akses ke data, dianjurkan untuk tidak membayar tebusan. Pembayaran tebusan tidak menjamin bahwa Anda akan mendapatkan kunci dekripsi yang diperlukan, dan itu juga hanya mendorong pelaku kejahatan siber untuk melakukan lebih banyak serangan di masa depan.
-
Cari Bantuan Profesional: Kontak tim keamanan siber atau ahli keamanan siber profesional untuk membantu Anda menilai dan merespons serangan ransomware dengan tepat. Mereka dapat memberikan panduan dan bantuan dalam menangani situasi serta memberikan saran tentang langkah-langkah pemulihan yang tepat.
-
Pemulihan Data: Jika memungkinkan, coba identifikasi metode atau alat yang dapat digunakan untuk memulihkan data yang terenkripsi tanpa harus membayar tebusan. Terkadang, ada alat atau teknik tertentu yang dapat membantu dalam proses pemulihan data.
-
Perbarui Sistem: Setelah serangan ransomware berhasil diatasi, pastikan untuk memperbarui sistem dan perangkat lunak Anda ke versi yang paling baru dan menerapkan tindakan pencegahan keamanan yang tepat untuk mencegah serangan serupa di masa depan.
-
Pendidikan Pengguna: Lakukan pendidikan dan pelatihan kepada pengguna akhir tentang cara mengidentifikasi serangan phishing dan taktik serangan ransomware lainnya, serta tentang langkah-langkah yang harus diambil jika mereka menghadapi serangan ransomware.
Menghadapi serangan ransomware bisa menjadi pengalaman yang menakutkan dan menantang, tetapi dengan tindakan yang tepat dan langkah-langkah pemulihan yang dipersiapkan sebelumnya, kita dapat mengurangi dampaknya dan memulihkan akses ke data kita dengan secepat mungkin.
Mengantisipasi Serangan Ransomware
Melindungi organisasi dari serangan ransomware memerlukan pendekatan yang holistik dan proaktif dalam keamanan siber. Berikut adalah beberapa langkah yang dapat diambil untuk melindungi organisasi dari serangan ransomware:
-
Pendidikan dan Pelatihan Karyawan: Lakukan pendidikan dan pelatihan kepada karyawan tentang cara mengidentifikasi serangan phishing, taktik serangan ransomware, dan praktik keamanan cyber yang aman. Karyawan yang teredukasi adalah pertahanan pertama terhadap serangan ransomware.
-
Pembaruan Sistem dan Perangkat Lunak: Pastikan sistem operasi, perangkat lunak, dan aplikasi di seluruh jaringan organisasi Anda selalu diperbarui ke versi yang paling baru. Pembaruan ini sering kali mencakup perbaikan keamanan yang dapat membantu melindungi sistem dari eksploitasi kelemahan terbaru.
-
Pemantauan dan Deteksi Ancaman: Implementasikan solusi pemantauan dan deteksi ancaman yang dapat mendeteksi aktivitas mencurigakan atau tanda-tanda serangan ransomware yang sedang terjadi. Ini dapat mencakup solusi keamanan jaringan, solusi Endpoint Detection and Response (EDR), atau solusi SIEM (Security Information and Event Management).
-
Segmentasi Jaringan: Gunakan segmentasi jaringan untuk membatasi akses yang tidak perlu antara sistem dan perangkat di dalam jaringan Anda. Ini dapat membantu memperlambat penyebaran ransomware jika satu bagian jaringan terinfeksi.
-
Pengelolaan Akses: Terapkan kebijakan pengelolaan akses yang ketat untuk memastikan bahwa hanya pengguna yang membutuhkan akses tertentu yang memiliki hak akses ke data dan sistem kritis organisasi.
-
Backup dan Pemulihan Data: Lakukan backup data secara teratur dan simpan salinan cadangan tersebut di lokasi yang aman dan terpisah dari jaringan utama. Pastikan untuk menguji proses pemulihan data secara berkala untuk memastikan bahwa data dapat dipulihkan dengan cepat dan efektif jika terjadi serangan ransomware.
-
Lapisan Pertahanan Keamanan: Implementasikan lapisan pertahanan keamanan yang kuat, termasuk firewall, antivirus, antispyware, dan antimalware di seluruh jaringan dan perangkat organisasi Anda.
-
Kontrol Email dan Web: Gunakan solusi untuk mengendalikan email dan web yang masuk ke jaringan Anda, termasuk filter email dan firewall web, untuk memblokir email phishing dan situs web berbahaya yang dapat menyebarkan ransomware.
-
Penyaringan Email: Terapkan penyaringan email yang kuat untuk memblokir email berbahaya atau mencurigakan yang mengandung lampiran atau tautan yang mungkin mengandung ransomware.
-
Rencana Tanggap Darurat: Buat rencana tanggap darurat yang terperinci untuk menangani serangan ransomware jika terjadi. Rencana ini harus mencakup langkah-langkah yang harus diambil, tim yang bertanggung jawab, dan prosedur pemulihan data yang harus diikuti.
Melindungi organisasi dari serangan ransomware memerlukan upaya yang berkelanjutan dan komprehensif dari seluruh organisasi, termasuk manajemen, karyawan, dan tim keamanan siber. Dengan mengimplementasikan langkah-langkah ini, Anda dapat meningkatkan ketahanan organisasi Anda terhadap serangan ransomware dan mengurangi kemungkinan kerugian yang disebabkan oleh serangan tersebut.