Melindungi Diri dari Ransomware: Wawasan tentang Perkembangan, Taktik, dan Praktik Terbaik dalam Perlindungan

English version could be read here 

Setiap hari, banyak individu, bisnis, bahkan entitas pemerintah, menemukan diri mereka berada di jangkauan pelaku jahat yang menggunakan senjata ampuh ransomware. Sudahlah masa ketika serangan cyber hanya merupakan gangguan atau ketidaknyamanan belaka. Ransomware, dengan sifatnya yang licik dan potensi merusak, telah meningkatkan risiko ke level yang belum pernah terjadi sebelumnya. Ini telah menjadi senjata pilihan bagi para penjahat cyber, mampu menimbulkan kerusakan dalam skala yang tidak terbayangkan.

Serangan ransomware semakin umum di seluruh dunia, dan Indonesia tidak kebal terhadap tren ini. Selama beberapa tahun terakhir, negara ini telah mengalami beberapa insiden ransomware yang mencolok, antara lain:

1. Pada bulan Mei 2023, Bank Syariah Indonesia (BSI), bank Islam terbesar di negara ini, mengalami serangan ransomware yang mengakibatkan gangguan layanan selama beberapa hari. Kelompok peretas LockBit mengaku bertanggung jawab atas serangan tersebut dan menuntut tebusan sebesar 20 juta dolar AS, yang ditolak oleh bank.
2. Pada tahun 2022, Bank Indonesia, bank sentral Republik Indonesia, mengonfirmasi bahwa mereka menjadi target serangan ransomware. Untungnya, bank tersebut menjelaskan bahwa serangan tersebut tidak berdampak pada operasionalnya dan tidak mengorbankan data penting. Bank segera mengambil langkah mitigasi untuk mengatasi insiden tersebut.
3. Pada bulan Juni 2021, Rumah Sakit Dharmais, sebuah rumah sakit di Indonesia, menjadi korban serangan ransomware yang mengenkripsi sistemnya dan menuntut pembayaran tebusan. Rumah sakit memutuskan untuk tidak membayar tebusan dan bekerja sama dengan para ahli keamanan cyber untuk memulihkan sistemnya. Serangan tersebut menyebabkan gangguan pada layanan rumah sakit, termasuk basis data pasien dan sistem rekam medisnya.

Apa itu Ransomware?

Ransomware adalah perangkat lunak jahat yang menghalangi pengguna untuk mengakses sumber daya komputer dan data pribadi mereka. Perangkat lunak ini mengenkripsi file, termasuk hard drive eksternal dan berbagi jaringan, dan menuntut tebusan untuk mendapatkan kunci dekripsi. Meskipun tujuannya adalah membatasi akses daripada menyebabkan kerusakan, ransomware menampilkan catatan tebusan di layar korban dan memberikan petunjuk pembayaran. Ransomware dapat menyebar ke perangkat yang terhubung dan sering digunakan oleh pelaku yang mencari metode pembayaran anonim seperti kartu tunai prabayar dan mata uang kripto untuk menghindari pendeteksian.

Evolusi Ransomware

Sepanjang sejarahnya, ransomware telah mengalami perkembangan yang signifikan. Kejadian pertama yang tercatat, dikenal sebagai AIDS Trojan, muncul pada tahun 1989 ketika Dr. Joseph Popp mendistribusikannya kepada para peneliti dalam sebuah konferensi AIDS. Berkedok sebagai program analisis risiko AIDS pada disket berlabel, perangkat lunak jahat ini diaktifkan setelah komputer korban dinyalakan ulang sebanyak 90 kali. Ia mengenkripsi semua file pengguna menggunakan algoritma enkripsi sederhana dan menuntut tebusan sebesar $378 untuk lisensi pemulihan file. Pembayaran diminta melalui cek kasir yang dikirim ke kotak pos di Panama. Namun, kesulitan dan penundaan pembayaran tebusan menghambat keuntungan dari serangan tersebut.

Pada tahun 2005, ransomware modern mendapatkan momentum dengan diluncurkannya Gpcoder. Ransomware ini mengikuti pola serupa dengan mengenkripsi file tertentu dan menuntut tebusan untuk dekripsi. Namun, enkripsi yang digunakan tidak seaman itu, dan perusahaan antivirus dengan cepat mengembangkan solusi dekripsi. Selain itu, pelacakan terhadap para penyerang meningkat karena mereka mencari pembayaran melalui platform seperti PayPal atau kartu kredit.

Pada pertengahan 2010-an, terjadi lonjakan yang belum pernah terjadi sebelumnya dalam serangan ransomware, sehingga tahun 2017 dijuluki sebagai "tahun emas ransomware". Hal ini disebabkan oleh insiden-insiden terkenal seperti WannaCry/WCry dan pengungkapan alat-alat yang bocor dari NSA, yang memfasilitasi penyebaran ransomware secara global dengan memanfaatkan kerentanan yang belum diperbaiki dalam sistem operasi Windows. 

Taktik Penyerang

Penyerang menggunakan berbagai taktik untuk mendistribusikan ransomware, termasuk:

1. Rekayasa sosial, seperti melalui media sosial, SMS, dan serangan phishing, adalah metode umum infeksi ransomware.
2. Serangan phishing sering mengandalkan teknik rekayasa sosial untuk menipu pengguna agar berinteraksi dengan tautan berbahaya atau mengunduh lampiran yang terinfeksi.
3. Paket eksploit sering digunakan oleh penyerang untuk memanfaatkan kerentanan perangkat lunak atau sistem operasi dan menyuntikkan malware ke komputer yang ditargetkan. Contoh yang terkenal adalah serangan ransomware "WannaCry" pada tahun 2017, yang dengan cepat menyebar melalui jaringan dengan memanfaatkan kerentanan Microsoft Windows.
4. Selain itu, para pelaku kejahatan sering memanfaatkan Remote Desktop Protocol (RDP) untuk mendapatkan akses tidak sah ke sistem dan menyebarkan ransomware dalam jaringan.

Pengurangan Risiko dan Atribusi

Untuk secara efektif mengurangi risiko dan mengidentifikasi serangan, penting untuk memahami taktik, teknik, dan prosedur yang digunakan oleh penyerang. Kerangka kerja MITRE ATT&CK® memberikan wawasan berharga dalam hal ini:

1. Taktik menjelaskan tujuan strategis yang dikejar oleh penyerang, seperti mendapatkan akses jaringan awal.
2. Teknik meliputi metode umum yang digunakan oleh pelaku ancaman untuk mencapai tujuan mereka, seperti menggunakan spear-phishing untuk masuk ke dalam jaringan.
3. Prosedur menjelaskan langkah-langkah yang tepat yang dilakukan oleh penyerang saat menggunakan teknik atau sub-teknik tertentu, seperti melampirkan dokumen MS Office yang berbahaya dalam email spear-phishing.

Informasi lebih detail tentang TTP (Tactics, Techniques, and Procedures) dapat dibaca di situs web MITRE ATT&CK.

Sistem-sistem apa yang bisa diserang?

Ransomware merupakan ancaman yang dapat memengaruhi perangkat-perangkat dengan berbagai sistem operasi, dan penting untuk dicatat bahwa sistem Windows mengalami jumlah serangan yang lebih tinggi dibandingkan dengan sistem Android, meskipun instalasi Windows lebih sedikit. Observasi ini menimbulkan pertanyaan tentang keamanan sistem Windows dibandingkan dengan sistem operasi lainnya.

Meskipun saat ini belum ada penjelasan pasti mengenai jumlah serangan ransomware yang lebih tinggi pada sistem Windows dibandingkan dengan Android, salah satu spekulasi yang mungkin adalah ketersediaan lebih banyak alat serangan ransomware yang secara khusus menargetkan Windows. Hal ini dapat disebabkan oleh faktor seperti penggunaan Windows yang luas di lingkungan bisnis. Namun, analisis dan penelitian lebih lanjut diperlukan untuk menentukan alasan pasti di balik perbedaan ini.

Best Practice

Terakhir, berikut adalah praktik terbaik untuk melindungi diri dari serangan ransomware:

1. Selalu perbarui perangkat lunak: Secara teratur perbarui sistem operasi, aplikasi, dan firmware untuk mengatasi kerentanan yang diketahui dan memastikan sistem terlindungi.
2. Lakukan pencadangan data secara teratur: Terapkan jadwal pencadangan yang teratur dengan pengujian frekuensi penyimpanan data cadangan dan proses pemulihan.
3. Gunakan perangkat lunak antivirus/malware: Pasang dan secara teratur perbarui perangkat lunak antivirus/malware di semua perangkat, termasuk laptop, desktop, dan perangkat mobile.
4. Batasi akses ke data sensitif: Batasi akses ke data dan sistem sensitif hanya untuk personel yang berwenang dan pastikan pengaturan kontrol akses dan izin diatur dengan tepat.
5. Terapkan prinsip hak akses terendah (least privilege): Terapkan model hak akses terendah untuk membatasi tingkat akses pengguna ke sistem dan data.
6. Gunakan otentikasi multi-faktor: Gunakan otentikasi multi-faktor untuk memastikan bahwa hanya pengguna yang berwenang yang diizinkan mengakses sistem dan data sensitif.
7. Berhati-hati terhadap email phishing: Latih karyawan untuk berhati-hati terhadap email phishing, tautan, dan lampiran yang mungkin mengandung konten berbahaya dan laporkan email yang mencurigakan kepada personel IT.
8. Tetapkan rencana tanggap insiden: Miliki rencana tanggap insiden yang memastikan respons yang cepat dan efektif terhadap serangan ransomware, termasuk rencana pemulihan data dari cadangan dan komunikasi dengan stakeholder.
9. Secara teratur uji rencana respons insiden siber: Secara teratur uji dan perbarui rencana respons insiden siber untuk memastikan efektivitasnya.

Jika Anda memiliki keraguan atau pertanyaan, silakan tuliskan di bagian komentar di bawah ini.