Mengenal Ransomware, malware yang bisa sandera data korban
Belakangan ini, Ransomware kembali menjadi isu hangat setelah salah satu server nasional di Indonesia. Tapi, apa sih ransomware, cara kerja ransomware, dan serangan besar apa saja yang pernah terjadi? Yuk kita bahas!
Ransomware kembali menjadi pembahasan yang sangat panas di pertengahan 2024 ini. Pasalnya, berbagai server kritikal yang terkait dengan pemerintahan Indonesia diserang peretas menggunakan malware Ransomware.
Server yang terkena serangan Ransomware ini adalah Server Pusat Data Nasional Sementara (PDNS). Serangan ini pertama kali diidentifikasi pada Kamis, 20 Juni 2024. Atas serangan tersebut, beberapa layanan publik termasuk layanan imigrasi terkena imbasnya.
Yang mengumumkan PDNS terkena serangan adalah Badan Siber dan Sandi Negara (BSSN) Republik Indonesia. Tentu saja, ini merupakan pukulan yang sangat besar karena beberapa pelayanan publik lumpuh.
Kepala BSSN, Hinsa Siburian mengatakan telah berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo) Republik Indonesia dan pihak lain dalam upaya Penanganan gangguan ekosistem Layanan Komputasi Awan Pemerintah. Yang menjadi prioritasnya adalah PDNS.
Hal yang membuat perbincangan adalah harga “tebusan” yang harus dibayarkan oleh pemerintah juga tak sedikit. Dilaporkan, uang tebusan yang ditawarkan oleh para peretas mencapai USD8 juta atau sekitar Rp131 miliar.
Namun, sebelum lebih dalam membahas terkait kasus serangan ini, ada baiknya kita pahami terlebih dahulu apa sebenarnya Ransomware tersebut. Hal ini cukup penting untuk lebih memahami kasus yang terjadi kali ini.
Apa sih sebenarnya Ransomware itu?
Secara singkat, Ransomware adalah sejenis program jahat atau biasa disebut malware. Namun, untuk jenis serangan ini, memiliki tujuan untuk mengancam korban dengan menghancurkan atau memblokir akses ke data atau sistem penting hingga tebusan dibayar.
Awal serangan ini sebenarnya lebih menargetkan individu. Namun belakangan ini, Ransomware menjadi salah satu cara para pelaku yang tak bertanggung jawab mulai menargetkan organisasi dan terus meluas sehingga semakin sulit untuk dicegah dan ditanggulangi.
Dengan ransomware kiriman manusia, sekelompok penyerang dapat menggunakan intelijen yang telah mereka kumpulkan untuk memperoleh akses ke jaringan perusahaan. Beberapa serangan semacam ini sangatlah canggih sampai-sampai penyerang menggunakan dokumen keuangan internal yang mereka ungkap untuk menetapkan harga tebusan.
Lalu, bagaimana cara Ransomware bekerja dan apa saja jenisnya?
Serangan malware yang satu ini membutuhkan serangkaian perlakuan khusus sebelum dapat mengambil alih data korban dan menguncinya. Awalnya, peretas harus dapat menembus keamanan - mulai dari firewall di jaringan hingga software antivirus di dalam OS - calon korban sebelum menjalankan malware Ransomware tersebut.
Tapi, seiring perkembangan zaman, penyerang menggunakan pendekatan rekayasa sosial untuk mempermudah serangan mereka. Berbagai cara mereka lakukan, mulai dari mengirim email hingga menyisipkan link di situs-situs yang tidak memiliki sistem keamanan yang baik.
Namun, secara umum ada enam tahapan utama dalam infeksi ransomware yang perlu dipahami oleh masyarakat untuk melindungi diri dan sistem mereka dari ancaman ini.
1. Infeksi Awal
Serangan ransomware biasanya dimulai dengan infeksi awal yang dapat terjadi melalui beberapa metode. Phishing email menjadi cara paling umum digunakan oleh pelaku. Email phishing ini berisi tautan atau lampiran berbahaya yang, ketika diklik atau dibuka, akan mengunduh dan menjalankan ransomware di perangkat korban. Selain itu, ransomware juga bisa mengeksploitasi kerentanan dalam perangkat lunak atau sistem operasi yang belum diperbarui. Kerentanan ini sering dimanfaatkan untuk memasukkan ransomware ke dalam sistem tanpa sepengetahuan pengguna.
Metode lain termasuk unduhan berbahaya dari situs web yang tidak terpercaya. Pengguna yang mengunduh perangkat lunak dari sumber-sumber ini berisiko tinggi terinfeksi ransomware. Selain itu, metode drive-by download memungkinkan ransomware diunduh secara otomatis ketika pengguna mengunjungi situs web yang telah dikompromikan.
2. Eksekusi dan Penyebaran
Setelah ransomware berhasil masuk ke dalam sistem, tahap berikutnya adalah eksekusi dan penyebarannya. Ransomware akan dijalankan di komputer korban dan mungkin menonaktifkan perangkat lunak keamanan atau antivirus untuk menghindari deteksi. Ransomware kemudian mencoba menyebar ke komputer lain dalam jaringan yang sama menggunakan berbagai teknik, seperti mengeksploitasi kerentanan jaringan atau menggunakan kredensial yang dicuri.
3. Enkripsi Data
Setelah berhasil menginfeksi sistem, ransomware akan memindai sistem untuk menemukan file-file yang berharga, seperti dokumen, gambar, database, dan file penting lainnya. File-file ini kemudian dienkripsi menggunakan algoritma enkripsi yang kuat, seperti AES atau RSA. File yang terenkripsi biasanya diubah namanya dengan ekstensi yang tidak dikenal atau diacak, menunjukkan bahwa file tersebut tidak dapat diakses tanpa kunci dekripsi. Beberapa varian ransomware bahkan mencoba menghapus salinan backup lokal dan shadow copies untuk mencegah pemulihan data tanpa membayar tebusan.
4. Notifikasi Tebusan
Setelah proses enkripsi selesai, korban akan menerima pesan tebusan yang memberi tahu bahwa data mereka telah dienkripsi. Pesan ini biasanya muncul dalam bentuk file teks, gambar, atau jendela pop-up yang memberi instruksi tentang cara membayar tebusan. Pembayaran biasanya diminta dalam mata uang digital seperti Bitcoin, yang sulit dilacak. Penyerang seringkali memberikan tenggat waktu untuk pembayaran, dengan ancaman bahwa data akan dihapus atau tebusan akan meningkat jika pembayaran tidak dilakukan dalam waktu yang ditentukan.
5. Pembayaran dan Dekripsi
Jika korban memutuskan untuk membayar tebusan, mereka harus mengikuti instruksi pembayaran yang diberikan. Setelah pembayaran diterima, penyerang biasanya akan memberikan kunci dekripsi atau alat dekripsi kepada korban. Namun, tidak ada jaminan bahwa kunci atau alat dekripsi tersebut akan bekerja atau bahwa data akan dipulihkan sepenuhnya. Banyak korban yang tetap tidak bisa mengakses data mereka meskipun telah membayar tebusan.
6. Pemulihan
Setelah mendapatkan kunci dekripsi, korban harus menggunakan kunci atau alat tersebut untuk memulihkan akses ke file yang terenkripsi. Langkah pemulihan sistem juga penting untuk memastikan ransomware telah dihapus sepenuhnya dari sistem dan tidak menyebabkan infeksi ulang. Selain itu, evaluasi dan peningkatan langkah-langkah keamanan sangat diperlukan untuk mencegah serangan ransomware di masa depan. Ini termasuk memperbarui perangkat lunak, meningkatkan kebijakan keamanan, dan mendidik pengguna tentang ancaman siber.
7. Taktik dan Teknik Tambahan
Beberapa ransomware menggunakan teknik tambahan untuk meningkatkan efektivitasnya. Salah satunya adalah double extortion, di mana penyerang tidak hanya mengenkripsi data, tetapi juga mencuri data sensitif dan mengancam akan mempublikasikannya jika tebusan tidak dibayar. Selain itu, model ransomware-as-a-service (RaaS) semakin populer, memungkinkan siapa saja untuk meluncurkan serangan ransomware dengan sedikit pengetahuan teknis.
Sedangkan untuk jenis sendiri, secara umum Ransomware terdiri dari dua tipe. Berikut ini tipe dan penjelasannya :
Ransomware rekayasa sosial
Serangan ini menggunakan pengelabuan, sejenis penipuan yang menyamarkan penyerang sebagai perusahaan atau situs web resmi untuk menipu korban agar mengeklik tautan atau membuka lampiran email yang akan menginstal ransomware di perangkat mereka.
Serangan ini sering kali menampilkan pesan darurat yang menakut-nakuti korban. Misalnya, penjahat cyber mungkin menyamar sebagai bank terkenal dan mengirim email yang memperingatkan seseorang bahwa akun mereka telah dibekukan karena aktivitas yang mencurigakan, lalu mendesak mereka untuk mengeklik tautan di email untuk mengatasi masalah tersebut. Setelah mereka mengeklik tautan tersebut, ransomware akan di instal.
Human-operated ransomware
Ransomware kiriman manusia sering kali dimulai dengan pencurian kredensial akun. Setelah penyerang mendapatkan akses ke jaringan organisasi dengan cara ini, mereka menggunakan akun curian tersebut untuk menentukan kredensial akun-akun dengan lingkup akses yang lebih luas, lalu mencari data dan sistem penting bagi bisnis dengan potensi bayaran yang tinggi.
Mereka kemudian menginstal ransomware pada data sensitif atau sistem penting bagi bisnis ini, misalnya, dengan mengenkripsi file sensitif sehingga organisasi tidak dapat mengaksesnya sebelum membayar tebusan. Penjahat cyber cenderung meminta pembayaran dalam mata uang kripto karena anonimitasnya.
Para penyerang ini menargetkan organisasi besar yang dapat membayar tebusan yang lebih tinggi dibandingkan individu pada umumnya, terkadang hingga jutaan dolar Amerika. Karena risiko yang tinggi terkait dengan pelanggaran skala ini, banyak organisasi memilih untuk membayar uang tebusan daripada membocorkan data sensitif atau mengambil risiko serangan lebih lanjut dari penjahat cyber, meskipun pembayaran belum tentu mencegah kedua hal ini.
Seiring dengan serangan ransomware kiriman manusia yang semakin berkembang, para pelaku di balik serangan pun semakin tertata. Faktanya, banyak operasi ransomware sekarang menggunakan Ransomware sebagai model Layanan, artinya, sekelompok pengembang kriminal membuat ransomware itu sendiri lalu menyewa afiliasi kriminal dunia maya lainnya untuk meretas jaringan organisasi dan menginstal ransomware. Setelah itu, keuntungan dibagi di antara dua kelompok sesuai tarif yang disepakati.
Di sisi lain, ada dua tipe serangan terkait tipe dari Ransomware tersebut, yakni Kripto dan Locker. Berikut ini penjelasannya :
Ransomware kripto
Saat individu atau organisasi menjadi korban serangan ransomware kripto, penyerang akan mengenkripsi data atau file sensitif korban sehingga mereka tidak dapat mengaksesnya hingga membayar tebusan yang diminta. Secara teori, setelah korban membayar, mereka akan menerima kunci enkripsi untuk mendapatkan akses ke file atau data tersebut.
Meskipun korban telah membayar tebusan, tidak ada jaminan bahwa penjahat cyber akan mengirim kunci enkripsi atau melepaskan kontrol. Doxware adalah bentuk ransomware kripto yang mengenkripsi dan mengancam untuk mengungkapkan informasi pribadi korban secara publik, biasanya dengan tujuan memaksa mereka untuk membayar dengan cara menghina atau mempermalukan mereka.
Ransomware locker
Dalam serangan ransomware loker, korban terkunci dari perangkat mereka dan tidak dapat masuk. Korban akan diberi catatan tebusan di layar yang menjelaskan bahwa mereka telah dicegah masuk dan menyertakan instruksi tentang cara membayar tebusan untuk mendapatkan kembali akses. Bentuk ransomware ini biasanya tidak melibatkan enkripsi, sehingga setelah korban mendapatkan kembali akses ke perangkat mereka, semua file dan data sensitif akan tetap ada.
Tipe Ransomware mana yang menyerang PDNS dan apa langkah yang sudah dilakukan pemerintah Indonesia untuk menanggulanginya?
Dalam beberapa pemberitaan, disebutkan bahwa ada dugaan serangan di PDNS berawal dari salah satu karyawan mengakses situs ilegal. Kemungkinan besar, dari sinilah para peretas mulai menyusupi sistem jaringan PDNS dan melakukan serangan secara perlahan.
“Hasil identifikasi kami atas kendala yang terjadi pada Pusat Data Nasional Sementara akibat serangan serangan siber berjenis Ransomware,” ujar Hisna saat memberikan keterangan pers di Kantor Kementerian Komunikasi dan Informatika, Jakarta Pusat, Senin (24/06/2024).
Hinsa mengatakan, dari insiden ransomware tersebut, BSSN menemukan adanya upaya untuk melumpuhkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas malicious dapat berjalan.
Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus file system penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai didisable dan crash.
“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami Crash dan tidak bisa beroperasi,” jelas Hinsa.
Saat ini, Hinsa mengatakan bahwa BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut.
“BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta sampai dengan hari ini masih terus melakukan investigasi secara menyeluruh mengacu pada bukti-bukti forensik yang telah didapat. Dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut,” ungkap Hinsa.
Lebih lanjut Kepala BSSN menjelaskan, dalam insiden ini BSSN telah berhasil menemukan sumber serangan yang berasal dari file ransomware dengan nama Brain Cipher Ransomware. Ransomware ini adalah pengembangan terbaru dari ransomware lockbit 3.0. Sampel Ransomware selanjutnya akan dilakukan analisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya.
“Hal ini menjadi penting untuk lesson learned dan upaya mitigasi agar insiden serupa tidak terjadi lagi,” ujar Hinsa. Hingga Senin (24 Juni 2024) sejak pukul 07.00 WIB, layanan Keimigrasian terdampak sudah beroperasi dengan normal.
Beberapa layanan seperti Layanan Visa dan Izin Tinggal, Layanan Tempat Pemeriksaan Imigrasi (TPI), Layanan Paspor, Layanan Visa on Arrival (VOA) on boarding, dan Layanan Manajemen Dokumen Keimigrasian sudah normal.
Di sisi lain, Wakil Presiden (Wapres) K.H. Ma’ruf Amin meminta investigasi terus dilakukan agar kejadian serupa tidak terulang di masa depan.
“Yang diutamakan kita itu mengembalikan, menormalkan keadaan. Alhamdulillah sekarang sudah normal. Sebabnya apa yang terjadi itu sedang dilakukan [investigasi] oleh Kominfo dan juga oleh Badan Siber dan Sandi Negara (BSSN), dan dari pihak keamanan sedang mencari sebabnya,” ungkap Wapres saat memberikan keterangan pers usai menghadiri Peringatan Hari Penyiaran Nasional ke-91 dan Pembukaan Rakornas Komisi Penyiaran Indonesia (KPI) 2024, di Indonesia Convention Exhibition (ICE), Jl. BSD Grand Boulevard Nomor 1, Pagedangan, Tangerang, Banten, Senin (24/06/2024).
Agar kejadian tersebut tidak terulang, lanjut Wapres, pemerintah terus melakukan langkah antisipasi demi melindungi data negara dan masyarakat, serta segala pelayanan publik yang terafiliasi.
“Memang kejadian ini selalu terjadi, di dunia ini selalu terjadi. Oleh karena itu, kita akan memperkuat untuk melindungi kerahasiaan negara, masyarakat, dan juga pelayanan publik jangan sampai terganggu,” tegasnya.
Salah satunya, sebut Wapres, pemerintah akan terus berupaya menerapkan kebijakan satu data nasional agar berbagai data penting negara dan masyarakat tidak tercecer.
“Gangguan ini menjadi satu pelajaran yang berharga buat kita, untuk itu perlu diantisipasi dan tidak boleh lagi terjadi pada masa yang akan datang,” tegasnya.
Sementara itu, Wakil Menteri Komunikasi dan Informatika, Nezar Patria menyatakan insiden ini merupakan pelajaran sangat penting untuk makin memperkuat transformasi digital yang lebih aman ke depan. Dia juga mengatakan saat ini PDNS 2 sudah mulai dipersiapkan mulai 26 Juni lalu.
"Kita jangan kalah atau pun kita jangan mundur hanya gara-gara insiden ini. Tentu saja kita harus belajar banyak, kita harus membuat satu sistem yang menutup semua kemungkinan kejadian-kejadian yang sama terulang lagi," ujar Nezar.
Dia juga menekankan Kementerian Kominfo akan mengambil langkah-langkah mitigasi untuk menghadapi berbagai kemungkinan buruk yang akan terjadi di dunia siber di masa yang akan datang. “Tentu saja kita tidak demikian gampang bisa ditakut-takuti gitu. Kita coba melakukan mitigasi dan kita juga coba melakukan penyelidikan dan tentu saja tindakan-tindakan akan diambil.”
Menurut Wamenkominfo, berkaitan dengan keamanan siber, Indonesia telah memiliki beberapa pedoman yang telah dibuat. Namun demikian, upaya peretasan pasti akan terus terjadi.
"Sebetulnya pedoman-pedoman ini sudah dibuat ya. Tetapi tentu saja yang namanya upaya untuk meretas, menciptakan virus, mengganggu, dan segala macam itu kan terus terjadi. Di Indonesia juga sejumlah peraturan kan sudah dibuat. BSSN juga sudah mengeluarkan semacam standar-standar untuk security ini,” paparnya.
Nezar juga menilai serangan siber merupakan salah satu kategori global risk. Bahkan, menurutnya, World Economic Forum juga menyebutkan bahwa cyber security merupakan salah satu dari 5 Top Global Risk. Oleh karena itu, setiap negara akan memperhatikan aspek keamanan di dunia siber.
"Jadi saya kira dengan kemajuan teknologi dan internet yang makin terkoneksi ke seluruh dunia, mau tidak mau, isu tentang cyber security ini menjadi sangat penting. Dan semua negara di dunia mengadopsi protokol-protokol yang penting untuk menjaga keamanan data mereka masing-masing," jelasnya.
Lantas, bagaimana cara mencegah terkena serangan Ransomware?
Untuk mengantisipasi serangan ransomware, sebenarnya memerlukan pendekatan yang menyeluruh. Hal ini termasuk langkah-langkah pencegahan, deteksi dini, dan respons cepat jika serangan terjadi. Berikut adalah beberapa langkah penting yang bisa diambil untuk mengantisipasi serangan Ransomware :
1. Backup Data secara Teratur
Hal pertama yang harus kalian lakukan adalah dengan melakukan backup berkala. Lakukan backup data secara rutin dan simpan salinannya di lokasi yang terpisah dari jaringan utama. Setelah itu, jangan lupa untuk melakukan verifikasi backup. Pastikan backup data dapat dipulihkan dan diuji secara berkala untuk memastikan integritasnya.
2. Pembaruan Sistem dan Perangkat Lunak
Jangan lupa lakukan update rutin. Pastikan semua perangkat lunak, termasuk sistem operasi dan aplikasi, selalu diperbarui dengan patch keamanan terbaru. Lakukan juga pengelolaan kerentanan dengan menggunakan alat pengelolaan kerentanan untuk mendeteksi dan memperbaiki kerentanan yang ada dalam sistem.
3. Keamanan Jaringan
Tingkatkan keamanan di level firewall dan IDS/IPS. Implementasikan firewall dan sistem deteksi/pencegahan intrusi (IDS/IPS) untuk memantau dan mencegah lalu lintas yang mencurigakan.
Lakukan juga segmentasi jaringan dengan memisahkan jaringan menjadi beberapa segmen untuk mengurangi penyebaran ransomware jika terjadi infeksi.
4. Keamanan Email
Untuk mengurangi entry point para peretas untuk menyuntik malware, lakukan filterisasi spam. Gunakan filter spam yang canggih untuk mencegah email phishing yang sering menjadi pintu masuk ransomware. Jangan juga lupa untuk melakukan pelatihan pengguna dengan cara mengedukasi karyawan tentang cara mengenali dan menghindari email phishing serta tautan dan lampiran yang mencurigakan.
5. Keamanan Endpoint
Pastikan menggunakan antivirus dan anti-malware. Gunakan perangkat lunak antivirus dan anti-malware yang kuat dan pastikan selalu diperbarui. Jangan lupa berlakukan kontrol akses. Dengan melakukan implementasi kontrol akses berbasis peran (RBAC), kita dapat membatasi akses pengguna hanya ke data dan sistem yang diperlukan untuk pekerjaan mereka.
6. Manajemen Hak Istimewa
Lakukan prinsip Privilege Minimization. Batasi hak istimewa pengguna dan aplikasi hanya kepada yang benar-benar diperlukan. Pastikan juga hadirnya pengelolaan akun administrator, dan pastikan menggunakannya dengan hati-hati dan hanya untuk tugas-tugas administratif yang diperlukan.
7. Pemantauan dan Deteksi
Implementasikan SIEM atau (Security Information and Event Management) untuk memantau aktivitas jaringan dan mendeteksi perilaku yang mencurigakan. Pelajari juga analisis perilaku untuk mengidentifikasi aktivitas yang tidak biasa yang mungkin menunjukkan serangan ransomware.
8. Rencana Tanggap Insiden
Hal penting lainnya adalah memiliki rencana pemulihan. Dengan memiliki rencana tanggap insiden yang terperinci dan diuji secara berkala untuk memastikan kesiapan tim dalam menghadapi serangan ransomware, akan menyelamatkan data penting yang diambil alih peretas.
Untuk melakukan hal ini, bentuklah tim tanggap insiden yang sudah terlatih dan siap untuk merespons serangan ransomware dengan cepat dan efektif.
9. Edukasi dan Pelatihan
Yang terakhir dan paling penting adalah melakukan edukasi dan pelatihan. Lakukan kampanye kesadaran keamanan siber secara rutin untuk mengedukasi karyawan tentang ancaman ransomware dan praktik keamanan terbaik.
Agar lebih baik lagi, jangan lupa lakukan simulasi serangan. Lakukan simulasi serangan ransomware untuk melatih karyawan dan tim tanggap insiden dalam menghadapi situasi nyata.
Selain Indonesia, negara mana saja yang pernah terkena Ransomware di level negara?
Selain Indonesia, ternyata ada beberapa serangan Ransomware yang memberikan dampak yang besar bagi sebuah negara. Setidaknya ada empat serangan yang masif, dan berimbas terhadap banyak orang sekaligus.
Yang pertama adalah serangan ke Colonial Pipeline pada Mei 2021 di Amerika Serikat. Serangan terhadap Colonial Pipeline adalah salah satu contoh paling terkenal dari ransomware yang menargetkan infrastruktur kritis di Amerika Serikat. Serangan ini dilakukan oleh kelompok ransomware DarkSide.
Dampaknya, Colonial Pipeline menghentikan operasinya selama beberapa hari, yang mengakibatkan kekurangan bahan bakar di Pantai Timur Amerika Serikat. Terjadi juga kenaikan harga bahan bakar dan pembelian panik di beberapa daerah. Pemerintah AS juga pada akhirnya mengumumkan keadaan darurat untuk mengelola distribusi bahan bakar.
Untuk menanggulangi hal tersebut, Colonial Pipeline membayar tebusan sebesar USD4,4 juta dalam bentuk Bitcoin untuk memulihkan akses ke sistem mereka. Sebagian dari tebusan ini kemudian berhasil dilacak dan dipulihkan oleh pihak berwenang AS.
Yang kedua ada juga serangan Health Service Executive (HSE) Irlandia pada Mei 2021. HSE Irlandia terkena serangan ransomware Conti, yang mengakibatkan gangguan besar pada layanan kesehatan di seluruh negara.
Serangan ini berdampak ke banyak sistem kesehatan, termasuk layanan penunjang dan administrasi rumah sakit, terganggu. Selain itu ada juga penundaan dalam janji medis, prosedur, dan layanan kesehatan lainnya.
Para peretas meminta tebusan, namun pada akhirnya pemerintah Irlandia menolak membayar tebusan, dan proses pemulihan membutuhkan waktu berminggu-minggu. Mereka melakukan pemulihan dengan bantuan ahli keamanan siber.
Lalu, ada juga serangan terhadap Sektor Air di Florida pada Februari 2021. Kejadian ini merupakan sebuah insiden di mana seorang penyerang yang tidak dikenal mencoba meracuni pasokan air di kota Oldsmar, Florida, melalui serangan siber.
Alhasil, penyerang berhasil mengakses sistem pengolahan air dan berusaha menaikkan level sodium hidroksida (lye) ke tingkat yang berbahaya. Untungnya, operator segera menyadari perubahan tersebut dan mengembalikan level ke normal sebelum ada bahaya nyata.
Terakhir ada serangan ke Baltimore City pada Mei 2019. Baltimore City di Amerika Serikat terkena serangan ransomware yang menggunakan varian ransomware RobbinHood. Dampaknya, sistem kota, termasuk layanan email, pembayaran tagihan, dan pengolahan data penduduk, terganggu selama beberapa minggu.
Pemulihan penuh dari serangan ini memakan waktu berbulan-bulan dan biaya yang signifikan. Ini dikarenakan pemerintah Baltimore City menolak uang tebusan sebesar 13 Bitcoin yang saat itu sekitar USD76.000.
Tapi apesnya, pemulihan yang mendapatkan bantuan ahli keamanan siber tersebut menelan biaya pemulihan yang diperkirakan mencapai USD18 juta, ratusan kali lipat lebih mahal dari biaya yang ditawarkan oleh para peretas.