Ransomware adalah jenis malware yang mengunci data atau perangkat korban dan mengancam untuk tetap menguncinya - atau lebih buruk lagi - kecuali jika korban membayar uang tebusan kepada penyerang. Menurut IBM Security X-Force Threat Intelligence Index 2023, serangan ransomware mewakili 17 persen dari seluruh serangan s iber pada tahun 2022.
Serangan ransomware paling awal hanya menuntut uang tebusan dengan imbalan kunci enkripsi yang diperlukan untuk mendapatkan kembali akses ke data yang terpengaruh atau penggunaan perangkat yang terinfeksi. Dengan membuat cadangan data secara teratur atau berkelanjutan, organisasi dapat membatasi biaya dari jenis serangan ransomware ini dan sering menghindari membayar permintaan tebusan.
Namun dalam beberapa tahun terakhir, serangan ransomware telah berevolusi untuk menyertakan serangan pemerasan ganda dan pemerasan tiga kali lipat yang meningkatkan taruhannya secara signifikan - bahkan bagi korban yang secara ketat menjaga cadangan data atau membayar permintaan tebusan awal. Serangan pemerasan ganda menambahkan ancaman mencuri data korban dan membocorkannya secara online; selain itu, serangan pemerasan tiga kali lipat mengancam untuk menggunakan data yang dicuri untuk menyerang pelanggan atau mitra bisnis korban.
Indeks Intelijen Ancaman X-Force 2023 menemukan bahwa pangsa ransomware dari semua insiden keamanan siber menurun sebesar 4 persen dari tahun 2021 hingga 2022, kemungkinan besar karena para defender lebih berhasil mendeteksi dan mencegah serangan ransomware. Namun, temuan positif ini dikalahkan oleh penurunan besar-besaran sebesar 94 persen dalam rata-rata waktu serangan - dari 2 bulan menjadi kurang dari 4 hari, sehingga memberikan waktu yang sangat singkat bagi organisasi untuk mendeteksi dan menggagalkan potensi serangan.
Korban dan negosiator ransomware enggan mengungkapkan jumlah pembayaran tebusan. Namun, menurut Panduan Definitif untuk Ransomware, permintaan tebusan telah berkembang menjadi tujuh dan delapan digit. Dan pembayaran tebusan hanyalah sebagian dari total biaya infeksi ransomware. Menurut laporan Cost of a Data Breach 2022 dari IBM , biaya rata-rata pelanggaran data yang disebabkan oleh serangan ransomware, tidak termasuk pembayaran tebusan, adalah USD 4,54 juta. Serangan ransomware diperkirakan akan merugikan korban sekitar USD 30 miliar pada tahun 2023.
Ada dua jenis umum ransomware. Jenis yang paling umum, yang disebut ransomware enkripsi atau ransomware kripto, menyandera data korban dengan mengenkripsinya. Penyerang kemudian meminta uang tebusan sebagai imbalan untuk memberikan kunci enkripsi yang diperlukan untuk mendekripsi data.
Bentuk ransomware yang kurang umum, yang disebut ransomware non-pengenkripsi atau ransomware peng uncian layar, mengunci seluruh perangkat korban, biasanya dengan memblokir akses ke sistem operasi. Alih-alih memulai seperti biasa, perangkat menampilkan layar yang menampilkan permintaan tebusan.
Kedua jenis ini dapat dibagi lebih lanjut ke dalam subkategori berikut:
Serangan Ransomware dapat menggunakan beberapa metode, atau vektor, untuk menginfeksi sebuah jaringan atau perangkat. Beberapa vektor infeksi ransomware yang paling menonjol termasuk:
Penjahat siber tidak perlu mengembangkan ransomware mereka sendiri untuk mengeksploitasi vektor ini. Beberapa pengembang ransomware membagikan kode malware mereka dengan penjahat siber melalui pengaturan ransomware-as-a-service (RaaS ). Penjahat siber, atau 'afiliasi,' menggunakan kode untuk melakukan serangan, dan kemudian membagi pembayaran tebusan dengan pengembang. Ini adalah hubungan yang saling menguntungkan: Afiliasi bisa mendapatkan keuntungan dari pemerasan tanpa harus mengembangkan malware mereka sendiri, dan pengembang bisa meningkatkan keuntungan mereka tanpa harus meluncurkan serangan siber tambahan.
Distributor ransomware dapat menjual ransomware melalui pasar digital, atau merekrut afiliasi secara langsung melalui forum online atau jalan serupa. Kelompok ransomware besar telah menginvestasikan sejumlah besar uang untuk menarik afiliasi. Grup REvil, misalnya, menghabiskan USD 1 juta sebagai bagian dari dorongan rekrutmen pada Oktober 2020.
Serangan ransomware biasanya berlangsung melalui tahapan-tahapan berikut ini.
Vektor akses yang paling umum untuk serangan ransomware tetaplah phishing dan eksploitasi kerentanan.
Bergantung pada vektor akses awal, tahap kedua ini mungkin melibatkan alat akses jarak jauh perantara (RAT) atau malware sebelum membangun akses interaktif.
Selama tahap ketiga dari serangan ini, penyerang berfokus pada pemahaman sistem lokal dan domain yang saat ini mereka miliki, dan untuk mendapatkan akses ke sistem dan domain lain (disebut gerakan lateral).
Di sini, operator ransomware mengalihkan fokusnya untuk mengidentifikasi data yang berharga dan melakukan eksfiltrasi (pencurian), biasanya dengan mengunduh atau mengekspor salinannya untuk mereka sendiri. Meskipun penyerang dapat menyusup ke setiap dan semua data yang dapat mereka akses, mereka biasanya berfokus pada data yang sangat berharga - kredensial login, informasi pribadi pelanggan, kekayaan intelektual - yang dapat mereka gunakan untuk pemerasan ganda.
Ransomware kripto mulai mengidentifikasi dan mengenkripsi file. Beberapa ransomware kripto juga menonaktifkan fitur pemulihan sistem, atau menghapus atau mengenkripsi cadangan di komputer atau jaringan korban untuk meningkatkan tekanan untuk membayar kunci dekripsi. Ransomware yang tidak mengenkripsi mengunci layar perangkat, membanjiri perangkat dengan pop-up atau mencegah korban menggunakan perangkat.
Setelah file dienkripsi dan/atau perangkat dinonaktifkan, ransomware memperingatkan korban tentang infeksi, sering kali melalui file .txt file disimpan di desktop komputer atau melalui pemberitahuan pop-up. Catatan tebusan berisi instruksi tentang cara membayar tebusan, biasanya dalam mata uang kripto atau metode yang tidak dapat dilacak, sebagai imbalan atas kunci dekripsi atau pemulihan operasi standar.
Sejak tahun 2020, para peneliti keamanan siber telah mengidentifikasi lebih dari 130 keluarga atau varian ransomware yang berbeda dan aktif - jenis-jenis ransomware yang unik dengan tanda tangan kode dan fungsinya masing-masing.
Di antara banyak varian ransomware yang telah beredar selama bertahun-tahun, beberapa jenis sangat terkenal karena tingkat kehancurannya, bagaimana mereka mempengaruhi perkembangan ransomware, atau ancaman yang masih mereka timbulkan saat ini.
Pertama kali muncul pada bulan September 2013, CryptoLocker secara luas dikreditkan dengan memulai era modern ransomware. Menyebar menggunakan botnet (jaringan komputer yang dibajak), CryptoLocker adalah salah satu keluarga ransomware pertama yang mengenkripsi file pengguna dengan kuat. Ini memeras sekitar USD 3 juta sebelum upaya penegakan hukum internasional menutupnya pada tahun 2014. Keberhasilan CryptoLocker melahirkan banyak peniru dan membuka jalan bagi varian seperti WannaCry, Ryuk, dan Petya (dijelaskan di bawah).
Cryptoworm-ransomware profil tinggi pertama yang dapat menyebarkan dirinya sendiri ke perangkat lain dalam jaringan-WannaCry menyerang lebih dari 200.000 komputer (di 150 negara) yang tidak ditambal oleh administrator untuk kerentanan Microsoft Windows EternalBlue. Selain mengenkripsi data sensitif, ransomware WannaCry mengancam untuk menghapus file jika pembayaran tidak diterima dalam waktu tujuh hari. Ini tetap menjadi salah satu serangan ransomware terbesar hingga saat ini, dengan perkiraan biaya mencapai USD 4 miliar.
Tidak seperti ransomware kripto lainnya, Petya mengenkripsi tabel sistem file dan bukan file individual, sehingga komputer yang terinfeksi tidak dapat mem-boot Windows. Versi yang sangat dimodifikasi, NotPetya, digunakan untuk melakukan serangan siber berskala besar, terutama terhadap Ukraina, pada tahun 2017. NotPetya adalah penghapus yang tidak mampu membuka kunci sistem bahkan setelah uang tebusan dibayarkan.
Pertama kali terlihat pada tahun 2018, Ryuk mempopulerkan serangan 'ransomware game besar' terhadap target bernilai tinggi tertentu, dengan permintaan tebusan rata-rata lebih dari USD 1 juta. Ryuk dapat menemukan dan menonaktifkan file cadangan dan fitur pemulihan sistem; Strain baru dengan kemampuan cryptoworm ditemukan pada tahun 2021.
Dijalankan oleh kelompok yang diduga beroperasi di luar Rusia, DarkSide adalah varian ransomware yang menyerang U.S. Colonial Pipeline pada 7 Mei 2021, yang dianggap sebagai serangan siber terburuk pada infrastruktur penting A.S. hingga saat ini. Akibatnya, pipa yang memasok 45 persen bahan bakar di Pantai Timur AS ditutup untuk sementara waktu. Selain meluncurkan serangan langsung, kelompok DarkSide juga melisensikan ransomware kepada afiliasinya melalui pengaturan RaaS.
Locky adalah ransomware yang mengenkripsi dengan metode infeksi yang berbeda-ia menggunakan makro yang tersembunyi di lampiran email (file Microsoft Word) yang menyamar sebagai faktur yang sah. Ketika pengguna mengunduh dan membuka dokumen Microsoft Word, makro berbahaya secara diam-diam mengunduh muatan ransomware ke perangkat pengguna.
REvil, juga dikenal sebagai Sodin atau Sodinokibi, membantu mempopulerkan pendekatan RaaS untuk distribusi ransomware. Dikenal untuk digunakan dalam perburuan permainan besar dan serangan pemerasan ganda, REvil berada di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited yang patut dicatat. JBS membayar uang tebusan sebesar USD 11 juta setelah seluruh operasi pengolahan daging sapi di AS terganggu, dan lebih dari 1.000 pelanggan perangkat lunak Kaseya terkena dampak downtime yang signifikan. Dinas Keamanan Federal Rusia melaporkan bahwa mereka telah membubarkan REvil dan mendakwa beberapa anggotanya pada awal tahun 2022.
Hingga 2022, sebagian besar korban ransomware memenuhi tuntutan tebusan penyerang mereka. Misalnya, dalam IBM Cyber Resilient Organization Study 2021, 61 persen perusahaan yang berpartisipasi yang mengalami serangan ransomware dalam waktu dua tahun penelitian mengatakan mereka membayar uang tebusan.
Namun laporan terbaru menandakan adanya perubahan pada tahun 2022. Perusahaan penanggulangan insiden pemerasan siber Coveware merilis temuan bahwa hanya 41 persen dari korban ransomware tahun 2022 yang membayar tebusan, dibandingkan dengan 51 persen pada tahun 2021 dan 70 persen pada tahun 2020. Dan Chainanalysis, penyedia platform data blockchain, melaporkan bahwa penyerang ransomware memeras hampir 40% lebih sedikit uang dari para korban di tahun 2022 dibandingkan dengan tahun 2021 (tautan berada di luar ibm.com). Para pakar menunjukkan kesiapan kejahatan siber yang lebih baik (termasuk pencadangan data) dan peningkatan investasi dalam teknologi pencegahan dan pendeteksian ancaman sebagai pendorong potensial di balik pembalikan ini.
Badan penegak hukum federal AS dengan suara bulat mencegah para korban ransomware untuk membayar tuntutan tebusan. Menurut National Cyber Investigative Joint Task Force (NCIJTF), sebuah koalisi yang terdiri dari 20 agen federal AS yang bermitra yang bertugas menyelidiki ancaman siber:
“FBI tidak mendorong membayar uang tebusan kepada aktor kriminal. Membayar uang tebusan dapat mendorong pihak lawan untuk menargetkan organisasi lain, mendorong pelaku kriminal lain untuk terlibat dalam distribusi ransomware, dan/atau mendanai aktivitas terlarang. Membayar uang tebusan juga tidak menjamin bahwa file korban akan dipulihkan.”
Lembaga penegak hukum menyarankan agar korban ransomware melaporkan serangan kepada pihak berwenang yang tepat, seperti Pusat Pengaduan Kejahatan Internet FBI (IC3), sebelum membayar uang tebusan. Beberapa korban serangan ransomware mungkin diwajibkan secara hukum untuk melaporkan infeksi ransomware terlepas dari apakah uang tebusan dibayarkan. Sebagai contoh, kepatuhan HIPAA umumnya mengharuskan entitas perawatan kesehatan untuk melaporkan pelanggaran data apa pun, termasuk serangan ransomware, kepada Departemen Kesehatan dan Layanan Kemanusiaan.
Dalam kondisi tertentu, membayar uang tebusan bisa jadi ilegal. Menurut saran tahun 2020 dari Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan AS, membayar uang tebusan kepada penyerang dari negara-negara yang terkena sanksi ekonomi AS-seperti Rusia, Korea Utara, atau Iran-akan menjadi pelanggaran terhadap peraturan OFAC dan dapat mengakibatkan hukuman perdata, denda, atau tuntutan pidana.
Untuk mempertahankan diri dari ancaman ransomware, badan-badan federal seperti CISA, NCIJFT, dan Dinas Rahasia A.S. merekomendasikan organisasi untuk mengambil tindakan pencegahan tertentu, seperti:
Meskipun alat dekripsi untuk beberapa varian ransomware tersedia untuk umum melalui proyek-proyek seperti No More Ransom, remediasi infeksi ransomware aktif sering kali membutuhkan pendekatan yang beragam. Lihat Panduan Definitif IBM Security untuk Ransomware untuk contoh rencana tanggap insiden ransomware yang dimodelkan berdasarkan Siklus Hidup Tanggap Insiden National Institute of Standards and Technology (NIST).
1989: Serangan ransomware pertama yang didokumentasikan, dikenal sebagai AIDS Trojan atau "P.C. Serangan Cyborg," didistribusikan melalui floppy disk. Mereka menyembunyikan direktori file di komputer korban dan menuntut USD 189 untuk menampilkannya. Tetapi karena dia mengenkripsi nama file dan bukannya file itu sendiri, maka mudah bagi pengguna untuk membalikkan kerusakan tanpa membayar uang tebusan.
1996: Saat menganalisis kelemahan virus Trojan AIDS, ilmuwan komputer Adam L. Young dan Moti Yung memperingatkan bentuk malware di masa depan yang dapat menggunakan kriptografi kunci publik yang lebih canggih untuk menyandera data sensitif.
2005: Setelah serangan ransomware yang relatif sedikit di awal tahun 2000-an, peningkatan infeksi dimulai, berpusat di Rusia dan Eropa Timur. Varian pertama yang menggunakan enkripsi asimetris muncul. Karena ransomware baru menawarkan cara yang lebih efektif untuk memeras uang, semakin banyak penjahat siber yang mulai menyebarkan ransomware ke seluruh dunia.
2009: Pengenalan cryptocurrency, khususnya Bitcoin, memberi penjahat dunia maya cara untuk menerima pembayaran tebusan yang tidak dapat dilacak, mendorong lonjakan berikutnya dalam aktivitas ransomware.
2013: Era modern ransomware dimulai dengan CryptoLocker yang meresmikan gelombang serangan ransomware berbasis enkripsi yang sangat canggih yang meminta pembayaran dalam mata uang kripto.
2015: Varian ransomware Tox memperkenalkan model ransomware-as-a-service (RaaS).
2017: WannaCry, cacing siber pertama yang mereplikasi diri secara luas, muncul.
2018: Ryuk mempopulerkan perburuan ransomware hewan buruan besar.
2019: Serangan ransomware pemerasan ganda dan tiga kali mulai meningkat. Hampir setiap insiden ransomware yang ditanggapi oleh tim IBM Security X-Force Incident Reponse sejak 2019 telah melibatkan pemerasan ganda.
2022: Pembajakan utas - di mana penjahat siber menyisipkan diri mereka ke dalam percakapan online target - muncul sebagai vektor ransomware yang menonjol.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR-semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Hentikan ransomware agar tidak mengganggu kelangsungan bisnis, dan pulihkan dengan cepat saat serangan terjadi-dengan pendekatan zero trust yang membantu Anda mendeteksi dan merespons ransomware dengan lebih cepat dan meminimalkan dampak serangan ransomware.
Layanan keamanan pertahanan kami, yang mencakup program persiapan, deteksi, dan tanggap darurat berbasis langganan, dapat membantu Anda mendeteksi, merespons, dan mengatasi insiden sebelum terjadi kerusakan signifikan.
Gunakan layanan keamanan ofensif kami, yang mencakup pengujian penetrasi, manajemen kerentanan, dan simulasi musuh, untuk membantu mengidentifikasi, memprioritaskan, dan memulihkan kelemahan keamanan yang mencakup seluruh ekosistem digital dan fisik Anda.
Mentransformasi bisnis Anda dan mengelola risiko bersama pemimpin industri global dalam konsultasi keamanan siber, cloud, dan layanan keamanan terkelola.
Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami bagaimana pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Pelajari langkah-langkah penting untuk melindungi bisnis Anda sebelum serangan ransomware dapat menembus pertahanan Anda, dan untuk mencapai pemulihan yang optimal jika musuh menembus perimeter.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.
Informasi keamanan dan manajemen acara (SIEM) menawarkan pemantauan dan analisis peristiwa secara real-time serta pelacakan dan pencatatan data keamanan untuk tujuan kepatuhan atau audit.
Los Angeles bermitra dengan IBM Security untuk membuat grup berbagi ancaman siber pertama untuk melindungi dari kejahatan siber.
Bekerja sama dengan arsitek dan konsultan keamanan IBM senior untuk memprioritaskan inisiatif keamanan siber Anda dalam sesi pemikiran desain 3 jam tanpa biaya, virtual, atau tatap muka.