Mengenal Ransomware, malware yang bisa sandera data korban
Belakangan ini, Ransomware kembali menjadi isu hangat setelah salah satu server nasional di Indonesia. Tapi, apa sih ransomware, cara kerja ransomware, dan serangan besar apa saja yang pernah terjadi? Yuk kita bahas!
Ransomware kembali menjadi pembahasan yang sangat panas di pertengahan 2024 ini. Pasalnya, berbagai server kritikal yang terkait dengan pemerintahan Indonesia diserang peretas menggunakan malware Ransomware.
Server yang terkena serangan Ransomware ini adalah Server Pusat Data Nasional Sementara (PDNS). Serangan ini pertama kali diidentifikasi pada Kamis, 20 Juni 2024. Atas serangan tersebut, beberapa layanan publik termasuk layanan imigrasi terkena imbasnya.
Yang mengumumkan PDNS terkena serangan adalah Badan Siber dan Sandi Negara (BSSN) Republik Indonesia. Tentu saja, ini merupakan pukulan yang sangat besar karena beberapa pelayanan publik lumpuh.
Kepala BSSN, Hinsa Siburian mengatakan telah berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo) Republik Indonesia dan pihak lain dalam upaya Penanganan gangguan ekosistem Layanan Komputasi Awan Pemerintah. Yang menjadi prioritasnya adalah PDNS.
Hal yang membuat perbincangan adalah harga “tebusan” yang harus dibayarkan oleh pemerintah juga tak sedikit. Dilaporkan, uang tebusan yang ditawarkan oleh para peretas mencapai USD8 juta atau sekitar Rp131 miliar.
Namun, sebelum lebih dalam membahas terkait kasus serangan ini, ada baiknya kita pahami terlebih dahulu apa sebenarnya Ransomware tersebut. Hal ini cukup penting untuk lebih memahami kasus yang terjadi kali ini.
Apa sih sebenarnya Ransomware itu?
Secara singkat, Ransomware adalah sejenis program jahat atau biasa disebut malware. Namun, untuk jenis serangan ini, memiliki tujuan untuk mengancam korban dengan menghancurkan atau memblokir akses ke data atau sistem penting hingga tebusan dibayar.
Awal serangan ini sebenarnya lebih menargetkan individu. Namun belakangan ini, Ransomware menjadi salah satu cara para pelaku yang tak bertanggung jawab mulai menargetkan organisasi dan terus meluas sehingga semakin sulit untuk dicegah dan ditanggulangi.
Dengan ransomware kiriman manusia, sekelompok penyerang dapat menggunakan intelijen yang telah mereka kumpulkan untuk memperoleh akses ke jaringan perusahaan. Beberapa serangan semacam ini sangatlah canggih sampai-sampai penyerang menggunakan dokumen keuangan internal yang mereka ungkap untuk menetapkan harga tebusan.
Lalu, bagaimana cara Ransomware bekerja dan apa saja jenisnya?
Serangan malware yang satu ini membutuhkan serangkaian perlakuan khusus sebelum dapat mengambil alih data korban dan menguncinya. Awalnya, peretas harus dapat menembus keamanan - mulai dari firewall di jaringan hingga software antivirus di dalam OS - calon korban sebelum menjalankan malware Ransomware tersebut.
Tapi, seiring perkembangan zaman, penyerang menggunakan pendekatan rekayasa sosial untuk mempermudah serangan mereka. Berbagai cara mereka lakukan, mulai dari mengirim email hingga menyisipkan link di situs-situs yang tidak memiliki sistem keamanan yang baik.
Namun, secara umum ada enam tahapan utama dalam infeksi ransomware yang perlu dipahami oleh masyarakat untuk melindungi diri dan sistem mereka dari ancaman ini.
1. Infeksi Awal
Serangan ransomware biasanya dimulai dengan infeksi awal yang dapat terjadi melalui beberapa metode. Phishing email menjadi cara paling umum digunakan oleh pelaku. Email phishing ini berisi tautan atau lampiran berbahaya yang, ketika diklik atau dibuka, akan mengunduh dan menjalankan ransomware di perangkat korban. Selain itu, ransomware juga bisa mengeksploitasi kerentanan dalam perangkat lunak atau sistem operasi yang belum diperbarui. Kerentanan ini sering dimanfaatkan untuk memasukkan ransomware ke dalam sistem tanpa sepengetahuan pengguna.
Metode lain termasuk unduhan berbahaya dari situs web yang tidak terpercaya. Pengguna yang mengunduh perangkat lunak dari sumber-sumber ini berisiko tinggi terinfeksi ransomware. Selain itu, metode drive-by download memungkinkan ransomware diunduh secara otomatis ketika pengguna mengunjungi situs web yang telah dikompromikan.
2. Eksekusi dan Penyebaran
Setelah ransomware berhasil masuk ke dalam sistem, tahap berikutnya adalah eksekusi dan penyebarannya. Ransomware akan dijalankan di komputer korban dan mungkin menonaktifkan perangkat lunak keamanan atau antivirus untuk menghindari deteksi. Ransomware kemudian mencoba menyebar ke komputer lain dalam jaringan yang sama menggunakan berbagai teknik, seperti mengeksploitasi kerentanan jaringan atau menggunakan kredensial yang dicuri.
3. Enkripsi Data
Setelah berhasil menginfeksi sistem, ransomware akan memindai sistem untuk menemukan file-file yang berharga, seperti dokumen, gambar, database, dan file penting lainnya. File-file ini kemudian dienkripsi menggunakan algoritma enkripsi yang kuat, seperti AES atau RSA. File yang terenkripsi biasanya diubah namanya dengan ekstensi yang tidak dikenal atau diacak, menunjukkan bahwa file tersebut tidak dapat diakses tanpa kunci dekripsi. Beberapa varian ransomware bahkan mencoba menghapus salinan backup lokal dan shadow copies untuk mencegah pemulihan data tanpa membayar tebusan.
4. Notifikasi Tebusan
Setelah proses enkripsi selesai, korban akan menerima pesan tebusan yang memberi tahu bahwa data mereka telah dienkripsi. Pesan ini biasanya muncul dalam bentuk file teks, gambar, atau jendela pop-up yang memberi instruksi tentang cara membayar tebusan. Pembayaran biasanya diminta dalam mata uang digital seperti Bitcoin, yang sulit dilacak. Penyerang seringkali memberikan tenggat waktu untuk pembayaran, dengan ancaman bahwa data akan dihapus atau tebusan akan meningkat jika pembayaran tidak dilakukan dalam waktu yang ditentukan.
5. Pembayaran dan Dekripsi
Jika korban memutuskan untuk membayar tebusan, mereka harus mengikuti instruksi pembayaran yang diberikan. Setelah pembayaran diterima, penyerang biasanya akan memberikan kunci dekripsi atau alat dekripsi kepada korban. Namun, tidak ada jaminan bahwa kunci atau alat dekripsi tersebut akan bekerja atau bahwa data akan dipulihkan sepenuhnya. Banyak korban yang tetap tidak bisa mengakses data mereka meskipun telah membayar tebusan.
6. Pemulihan
Setelah mendapatkan kunci dekripsi, korban harus menggunakan kunci atau alat tersebut untuk memulihkan akses ke file yang terenkripsi. Langkah pemulihan sistem juga penting untuk memastikan ransomware telah dihapus sepenuhnya dari sistem dan tidak menyebabkan infeksi ulang. Selain itu, evaluasi dan peningkatan langkah-langkah keamanan sangat diperlukan untuk mencegah serangan ransomware di masa depan. Ini termasuk memperbarui perangkat lunak, meningkatkan kebijakan keamanan, dan mendidik pengguna tentang ancaman siber.
7. Taktik dan Teknik Tambahan
Beberapa ransomware menggunakan teknik tambahan untuk meningkatkan efektivitasnya. Salah satunya adalah double extortion, di mana penyerang tidak hanya mengenkripsi data, tetapi juga mencuri data sensitif dan mengancam akan mempublikasikannya jika tebusan tidak dibayar. Selain itu, model ransomware-as-a-service (RaaS) semakin populer, memungkinkan siapa saja untuk meluncurkan serangan ransomware dengan sedikit pengetahuan teknis.
Sedangkan untuk jenis sendiri, secara umum Ransomware terdiri dari dua tipe. Berikut ini tipe dan penjelasannya :
Ransomware rekayasa sosial
Serangan ini menggunakan pengelabuan, sejenis penipuan yang menyamarkan penyerang sebagai perusahaan atau situs web resmi untuk menipu korban agar mengeklik tautan atau membuka lampiran email yang akan menginstal ransomware di perangkat mereka.
Serangan ini sering kali menampilkan pesan darurat yang menakut-nakuti korban. Misalnya, penjahat cyber mungkin menyamar sebagai bank terkenal dan mengirim email yang memperingatkan seseorang bahwa akun mereka telah dibekukan karena aktivitas yang mencurigakan, lalu mendesak mereka untuk mengeklik tautan di email untuk mengatasi masalah tersebut. Setelah mereka mengeklik tautan tersebut, ransomware akan di instal.
Human-operated ransomware
Ransomware kiriman manusia sering kali dimulai dengan pencurian kredensial akun. Setelah penyerang mendapatkan akses ke jaringan organisasi dengan cara ini, mereka menggunakan akun curian tersebut untuk menentukan kredensial akun-akun dengan lingkup akses yang lebih luas, lalu mencari data dan sistem penting bagi bisnis dengan potensi bayaran yang tinggi.
Mereka kemudian menginstal ransomware pada data sensitif atau sistem penting bagi bisnis ini, misalnya, dengan mengenkripsi file sensitif sehingga organisasi tidak dapat mengaksesnya sebelum membayar tebusan. Penjahat cyber cenderung meminta pembayaran dalam mata uang kripto karena anonimitasnya.
Para penyerang ini menargetkan organisasi besar yang dapat membayar tebusan yang lebih tinggi dibandingkan individu pada umumnya, terkadang hingga jutaan dolar Amerika. Karena risiko yang tinggi terkait dengan pelanggaran skala ini, banyak organisasi memilih untuk membayar uang tebusan daripada membocorkan data sensitif atau mengambil risiko serangan lebih lanjut dari penjahat cyber, meskipun pembayaran belum tentu mencegah kedua hal ini.
Seiring dengan serangan ransomware kiriman manusia yang semakin berkembang, para pelaku di balik serangan pun semakin tertata. Faktanya, banyak operasi ransomware sekarang menggunakan Ransomware sebagai model Layanan, artinya, sekelompok pengembang kriminal membuat ransomware itu sendiri lalu menyewa afiliasi kriminal dunia maya lainnya untuk meretas jaringan organisasi dan menginstal ransomware. Setelah itu, keuntungan dibagi di antara dua kelompok sesuai tarif yang disepakati.
Di sisi lain, ada dua tipe serangan terkait tipe dari Ransomware tersebut, yakni Kripto dan Locker. Berikut ini penjelasannya :
Ransomware kripto
Saat individu atau organisasi menjadi korban serangan ransomware kripto, penyerang akan mengenkripsi data atau file sensitif korban sehingga mereka tidak dapat mengaksesnya hingga membayar tebusan yang diminta. Secara teori, setelah korban membayar, mereka akan menerima kunci enkripsi untuk mendapatkan akses ke file atau data tersebut.
Meskipun korban telah membayar tebusan, tidak ada jaminan bahwa penjahat cyber akan mengirim kunci enkripsi atau melepaskan kontrol. Doxware adalah bentuk ransomware kripto yang mengenkripsi dan mengancam untuk mengungkapkan informasi pribadi korban secara publik, biasanya dengan tujuan memaksa mereka untuk membayar dengan cara menghina atau mempermalukan mereka.
Ransomware locker
Dalam serangan ransomware loker, korban terkunci dari perangkat mereka dan tidak dapat masuk. Korban akan diberi catatan tebusan di layar yang menjelaskan bahwa mereka telah dicegah masuk dan menyertakan instruksi tentang cara membayar tebusan untuk mendapatkan kembali akses. Bentuk ransomware ini biasanya tidak melibatkan enkripsi, sehingga setelah korban mendapatkan kembali akses ke perangkat mereka, semua file dan data sensitif akan tetap ada.