Ransomware adalah bagian dari malware (program jahat) yang dapat mengunci dan mengenkripsi data di komputer korban. Pelaku kemudian memberi tahu korban bahwa eksploitasi telah terjadi dan data tidak akan dapat dibuka atau didekripsi hingga pembayaran diterima.
Ransomware merupakan kejahatan pemerasan dunia maya, yang kemudian terus berkembang menjadi pemerasan ganda atau double extortion. Usai memeras untuk mendapatkan kunci dekripsi untuk membuka file yang dienkripsi/sandera, langkah berikutnya mereka memeras dengan mengancam akan membocorkan data yang sudah mereka curi.
IT Security Consultant dari Prosperita Mitra Indonesia, Yudhi Kukuh, mengatakan ransomware sering dikenal dengan nama kode strain malware seperti AIDS Trojan, yang pertama kali muncul 30 tahun lalu. Sejak itu, nama-nama seperti GPcode, Achievus, Trojan WinLock, Reveton dan CryptoLocker telah menjadi berita utama. Dalam dekade terakhir, LockerPIN, Ransom32, WannaCry, Goldeneye dan Petya merajalela. Dan baru-baru ini, geng kejahatan dunia maya menggunakan varian RaaS, REvil, dan Conti.
Jenis-Jenis Ransomware
- Locker: memblokir akses ke komputer dan penyerang memerlukan pembayaran untuk membuka kunci akses.
- Crypto: mengenkripsi semua atau beberapa file di komputer dan pelaku memerlukan pembayaran sebelum menyerahkan kunci dekripsi.
- Pemerasan ganda: terjadi ketika penjahat dunia maya menuntut satu pembayaran untuk mendekripsi file dan pembayaran lain untuk tidak mempublikasikannya.
- Ransomware as a Service (RaaS): terjadi ketika penjahat dunia maya dapat mengakses atau menyewa ransomware dengan biaya tertentu dan bagi hasil yang menguntungkan dengan pembuatnya.
Baca juga: Ini Daftar Malware Terpopuler Sejagad, dari Indonesia Ada Lho
Cara Ransomware Menyusup
Ransomware menyusup melalui tiga vektor umum, yaitu phising, attachment, Remote Desktop Protocol (RDP), dan penyalahgunaan kredensial serta kerentanan yang dapat dieksploitasi.
Phising adalah salah satu cara paling populer untuk mengirimkan ransomware. Email phising telah menjadi jauh lebih canggih bahkan menggunakan Bahasa Indonesia dengan baik, menarik bahkan pengguna yang paling cerdas bisa tertipu untuk mengklik tautannya yang berbahaya. Selain itu, phising pada aplikasi chatting juga menjadi salah satu alternatif yang digunakan untuk penyebaran.
File atau attachment yang dikirimkan di email, sering juga menjadi vektor tercepat dalam penyebaran malware ini. Bila email tidak dilengkapi analisa malware, attachment yang berbahaya dapat dengan mudah masuk dan besar kemungkinan diklik oleh pengguna. Pada beberapa kasus ditemui penamaan file yang menyaru, seperti namafilesaya.pdf.exe yang sesungguhnya merupakan file exe. Umumnya, attachment yang berbahaya berupa file dengan ekstensi .rar .zip .exe .bat .scr .vbs .doc .xls.
Penjahat dunia maya juga dapat menyuntikkan malware melalui RDP, yang merupakan protokol milik Microsoft untuk akses jarak jauh yang aman ke server dan desktop. Ketika lingkungan RDP dibiarkan tidak aman, peretas mendapatkan akses melalui brute force, kredensial sah yang dibeli melalui situs kriminal, dan isian kredensial.
Memanfaatkan fungsi Macro pada aplikasi Microsoft Office menjadi salah satu pilihan poluler. Penyebaran email dengan attachment berekstensi office umum dilakukan dengan body email yang menyarankan pembaca agar segera membuka attachment.
Adapun metode Ekploitasi Kredensial memanfaatkan kebocoran data yang didapat dari serangan sebelumnya. Umumnya, pelaku penyebaran ransomware memiliki data berupa username/password yang dapat digunakan untuk akses email, address book dan memulai menyebarkan vektor menggunakan akses ini atau langsung masuk ke dalam target jika memungkinan untuk menjalankan aksinya.
Siapa Sih Target Ransomware?
Beberapa industri lebih rentan terhadap serangan ransomware. Sepuluh target ransomware teratas adalah: industri pendidikan; retail; layanan bisnis, profesional, dan hukum; pemerintah pusat; IT; manufaktur; infrastruktur energi dan utilitas; Kesehatan; pemerintah daerah; jasa keuangan
Mengenali Serangan Ransowmare
Serangan ransomware secara unik sulit dideteksi karena kode berbahaya sering disembunyikan di perangkat lunak yang sah, seperti skrip PowerShell, VBScript, Mimikatz, dan PsExec. Perusahaan harus menggunakan kombinasi alat keamanan otomatis dan analisis malware untuk mengungkap aktivitas mencurigakan yang dapat mengakibatkan serangan ransomware.
Berikut adalah tiga jenis teknik pendeteksian ransomware:
Pertama, ransomware berbasis signature membandingkan hash sampel yang dikumpulkan dari aktivitas mencurigakan dengan signature yang diketahui. Lalu kedua, ransomware berbasis perilaku memeriksa perilaku baru dalam kaitannya dengan data historis. Dan ketiga, penipuan menggunakan umpan seperti honeypot.
Honeypot adalah sistem yang terhubung ke jaringan yang dibentuk sebagai umpan untuk memikat penyerang dunia maya dan mendeteksi, menangkis, dan mempelajari upaya peretasan untuk mendapatkan akses tidak sah ke sistem informasi. Fungsi honeypot adalah untuk menampilkan dirinya di internet sebagai target potensial bagi peretas; biasanya, server atau aset bernilai tinggi lainnya dan untuk mengumpulkan informasi dan memberi tahu para pakar keamanan tentang segala upaya untuk mengakses honeypot oleh pengguna yang tidak sah.
Lantas Bagaimana Cara Melindungi Diri dari Ransomware?
Kamu dapat mengurangi kerentanan terhadap serangan ransomware dan membatasi kerusakan yang ditimbulkannya dengan cara:
- Jika di perusahaan, maka semua karyawan harus menjalani pelatihan rutin untuk mengetahui praktik terbaik keamanan siber dan tidak sembarangan mengklik link di email atau sembarangan mencolokkan perangkat USB yang dapat disusupi malware.
- Selalu perbarui sistem operasi dan perangkat lunak yang digunakan ke versi terbaru, kapan pun ada patch dirilis.
- Selalu merencanakan yang terburuk dan berharap yang terbaik, jadi siapkan rencana kelangsungan bisnis jika terjadi bencana. Ini mencakup cadangan data dan bahkan mungkin infrastruktur cadangan yang dapat digunakan saat mencoba memulihkan sistem yang terkunci. Cadangkan data secara teratur dan uji cadangan tersebut sesering mungkin untuk melihat apakah mereka berfungsi dengan benar.
- Kurangi kemungkinan serangan dengan menonaktifkan atau menghapus instalasi perangkat lunak atau layanan yang tidak perlu. Disarankan untuk menonaktifkan RDP yang menghadap internet sepenuhnya atau setidaknya membatasi jumlah orang yang diizinkan mengakses server perusahaan dari jarak jauh melalui internet.
- Jangan pernah meremehkan nilai dari solusi keamanan berlapis yang bereputasi baik. Selain karyawan, ini adalah garis pertahanan pertama yang harus dimiliki dan jalankan untuk melindungi dari segala macam ancaman, bukan hanya dari serangan ransomware. Pastikan produk selalu di-patch dan up-to-date. Penting untuk menggunakan solusi sandbox berbasis cloud untuk memastikan jaringan perusahaan terlindungi dari serangan zero-day.
- Membayar uang tebusan untuk decryptor tidak dianjurkan. Tidak ada jaminan file atau data kembali setelah penjahat menerima pembayaran. Lagi pula, sekali membayar, perusahaan akan terus dianggap sebagai target.
- Ransomware merupakan tipe malware yang terus berkembang. Solusi menyeluruh wajib dilakukan dengan mengamankan semua pintu masuk jaringan (internet, email, endpoint, server, vpn, usb port).
- Menggunakan teknologi perlindungan tingkat lanjut seperti zero trust dan endpoint detection and response (EDR).
Memulihkan Dari Serangan Ransomware
Kalau sudah terjadi serangan apa boleh buat, yang penting adalah cara pemulihannya. Tapi kamu perlu tahu bahwa tidak semua ransomware dapat dipulihkan seperti sedia kala. Sebagian besar harus merelakan filenya terenkripsi.
Menghapus ransomware juga bisa berakibat fatal jika salah dalam penanganan. Profesional keamanan juga harus memastikan mereka tidak mengizinkan malware menembus lebih jauh ke dalam sistem. Maka langkah yang bisa diambil adalah:
- Isolasi perangkat yang terinfeksi (putuskan dari jaringan data).
- Tentukan jenis ransomware untuk memungkinkan upaya perbaikan yang lebih bertarget. Hampir semua ransomware tidak dapat didekripsi ulang, namun dengan mengetahui jenis ransomware dapat membantu menentukan langkah penanganan dan penutupan sumber masalah.
- Hapus ransomware menggunakan perangkat lunak anti malware atau anti ransomware untuk mengkarantinanya, meminta bantuan profesional keamanan eksternal, dan jika perlu menghapusnya secara manual.
- Pulihkan sistem dengan memulihkan versi OS sebelumnya sebelum serangan terjadi (system restore).
- Jika perangkat tersebut dianggap tidak terlalu penting, dapat dilakukan instalasi ulang untuk mempersingkat waktu, pastikan ESET Endpoint menjadi software pertama yang diinstall setelah instalasi OS pertama sebelum terhubung ke internet dan melakukan online update serta installasi aplikasi lain.
Skema Pertahanan Terhadap Ransomware
Selain langkah perlindungan di atas, disarankan juga skema pertahanan sebagai layer pertahanan dari ransomware:
- Cloud mail security sebagai pertahananan awal terhadap semua email sebelum sampai ke server, saat ini di indonesia sudah tersedia dan dapat digunakan gratis untuk umkm/startup seperti www.spamcleaner.id
- Email Server Security, pertahanan di sisi server untuk menyaring email sebagai pertahanan server email itu sendiri dan filter email. ESET menyediakan produk ESET Mail Security for Exchange untuk pengguna Microsoft Exchange.
- Pertahanan di sisi server menggunakan endpoint yang dikhususkan untuk server. ESET menyediakan ESET Server Security yang dapat berjalan di sistem operasi Windows/Mac/Linux.
- Monitoring di sisi jadingan LAN/WAN menggunakan Network Traffic Analysis yang didesain khusus dan memilki kemampuan untuk mengamati ancaman serangan digital seperti Greycortex.
- Pertahanan di sisi endpoint yang wajib diinstall ke setiap perangkat tanpa kecuali, termasuk kontrol port USB. Layaknya sudah dilengkapi oleh cloud analysis dan sandboxing. ESET menyedianan produk ESET Protect yang sudah terintegrasi untuk kebutuhan ini.
- Edukasi semua personel terhadap bahaya malware, khususnya ransomware dengan memberikan informasi berkala. Salah satu website yang bisa kamu jadikan acuan adalah https://news.prosperita.co.id.
Be First to Comment