Sejarah malware: Pengantar tentang evolusi ancaman siber

Malware, singkatan dari “malicious software”, mengacu pada perangkat lunak, kode, atau program komputer apa pun yang sengaja dirancang untuk membahayakan sistem komputer atau penggunanya. Hampir setiap serangan siber modern melibatkan beberapa jenis malware. Tingkat keparahan semua program berbahaya ini dapat berkisar dari sangat merusak dan mahal (ransomware) hingga yang hanya mengganggu tetapi tidak berbahaya (adware).

Setiap tahun terjadi miliaran serangan malware pada bisnis dan individu. Malware dapat menginfeksi semua jenis perangkat atau sistem operasi termasuk Windows, Mac, iPhone, dan Android.

Penjahat siber mengembangkan dan menggunakan malware untuk:

• Menyandera perangkat, data, atau jaringan perusahaan untuk mendapatkan uang dalam jumlah besar
• Mendapatkan akses tidak sah ke data sensitif atau aset digital
• Mencuri kredensial login, nomor kartu kredit, kekayaan intelektual, informasi identifikasi pribadi (PII) atau informasi berharga lainnya
• Mengganggu sistem kritis yang diandalkan oleh bisnis dan lembaga pemerintah

Meskipun istilah-istilah ini sering digunakan secara bergantian tidak semua jenis malware selalu merupakan virus. Malware adalah istilah umum yang menggambarkan berbagai jenis ancaman seperti:

Virus: Virus komputer didefinisikan sebagai program berbahaya yang tidak dapat bereplikasi tanpa interaksi manusia, baik melalui mengklik tautan, mengunduh lampiran, meluncurkan aplikasi tertentu, atau berbagai tindakan lainnya.

Worm: Pada dasarnya, worm adalah virus yang dapat mereplikasi diri sendiri, dan tidak membutuhkan interaksi manusia untuk menyebar, masuk ke dalam sistem komputer yang berbeda dan berpindah-pindah antar perangkat.

Botnet: Jaringan komputer yang terinfeksi di bawah kendali penyerang tunggal yang dikenal sebagai “penggembala bot” yang bekerja bersama secara serempak.

Ransomware: Salah satu jenis malware yang paling berbahaya, serangan ransomware mengendalikan sistem komputer yang penting atau data sensitif, mengunci pengguna dan meminta tebusan yang sangat tinggi dalam mata uang kripto seperti Bitcoin untuk mendapatkan akses kembali. Ransomware tetap menjadi salah satu jenis ancaman siber paling berbahaya saat ini. 

Ransomware Multi-extortion: Seolah-olah serangan ransomware tidak cukup mengancam, ransomware multi-pemerasan menambahkan lapisan tambahan untuk menyebabkan kerusakan lebih lanjut atau menambah tekanan ekstra bagi korban untuk menyerah. Dalam kasus serangan ransomware double-extortion, malware tidak hanya digunakan untuk mengenkripsi data korban tetapi juga mengeksfiltrasi file sensitif, seperti informasi pelanggan, dengan ancaman untuk dirilis ke publik. Serangan triple-extortion bahkan lebih jauh lagi, dengan ancaman untuk mengganggu sistem penting atau memperluas serangan destruktif ke pelanggan atau kontak korban. 

Virus makro: Makro adalah rangkaian perintah yang biasanya dibangun ke dalam aplikasi yang lebih besar untuk mengotomatiskan tugas-tugas sederhana dengan cepat. Virus makro memanfaatkan makro terprogram dengan menyematkan perangkat lunak berbahaya ke dalam file aplikasi yang akan dieksekusi ketika program terkait dibuka oleh pengguna.

Trojan: Dinamakan sesuai dengan Kuda Trojan yang terkenal, trojan menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya.

Spyware: Umum dalam spionase digital, spyware bersembunyi di dalam sistem yang terinfeksi untuk secara diam-diam mengumpulkan informasi sensitif dan mengirimkannya kembali ke penyerang.

Adware: Dianggap sebagian besar tidak berbahaya, adware biasanya ditemukan dibundel dengan perangkat lunak gratis dan mengirim spam kepada pengguna dengan pop-up yang tidak diinginkan atau iklan lainnya. Namun, beberapa adware mungkin memanen data pribadi atau mengarahkan browser web ke situs web berbahaya.

Rootkit: Jenis paket malware yang memungkinkan peretas untuk mendapatkan akses tingkat administrator ke sistem operasi komputer atau aset lainnya. 

Karena volume dan variasi yang besar, riwayat lengkap malware akan terlalu panjang. Sebagai gantinya, berikut adalah beberapa momen terkenal dalam evolusi malware.

Ketika komputer modern pertama dibuat, matematikawan perintis dan kontributor Manhattan Project, John von Neumann, mengembangkan konsep program yang dapat mereproduksi dan menyebarkan dirinya sendiri ke seluruh sistem. Diterbitkan pada tahun 1966 setelah kematiannya, karyanya Theory of Self-Reproducing Automata merupakan landasan teori untuk virus komputer.

Hanya lima tahun setelah karya teoretis John von Neumann diterbitkan, seorang programer bernama Bob Thomas menciptakan program eksperimental bernama Creeper, yang dirancang untuk berpindah di antara komputer yang berbeda di ARPANET, cikal bakal Internet modern. Rekannya, Ray Tomlinson, yang dianggap sebagai penemu email, memodifikasi program Creeper untuk tidak hanya berpindah di antara komputer, tetapi juga menyalin dirinya sendiri dari satu komputer ke komputer lain. Dengan demikian, lahirlah worm komputer pertama.

Meskipun Creeper adalah contoh pertama yang diketahui dari worm, sebenarnya itu bukan malware. Sebagai bukti konsep, Creeper tidak dibuat dengan niat jahat dan tidak merusak atau mengganggu sistem yang diinfeksinya, melainkan hanya menampilkan pesan aneh: “SAYA CREEPER: TANGKAP SAYA JIKA BISA”. Mengambil tantangannya sendiri, di tahun berikutnya Tomlinson juga menciptakan Reaper, perangkat lunak antivirus pertama yang dirancang untuk menghapus Creeper dengan cara yang sama dengan bergerak melintasi ARPANET.

Dikembangkan oleh Rich Skrenta saat ia baru berusia 15 tahun, program Elk Cloner dimaksudkan sebagai lelucon praktis. Sebagai anggota klub komputer di sekolah menengahnya, Skranta dikenal di antara teman-temannya sebagai orang yang suka mengubah permainan dan perangkat lunak lain yang dibagikan di antara anggota klub, sampai ke titik di mana banyak anggota yang menolak untuk menerima disket dari orang yang dikenal jahil itu.

Dalam upaya untuk mengubah perangkat lunak disk yang tidak dapat dia akses secara langsung, Skranta menemukan virus pertama yang diketahui untuk komputer Apple. Apa yang sekarang kita sebut virus sektor boot, Elk Cloner menyebar dengan menginfeksi sistem operasi Apple DOS 3.3 dan setelah ditransfer dari floppy disk yang terinfeksi, akan menyalin dirinya sendiri ke memori komputer. Ketika disk yang tidak terinfeksi kemudian dimasukkan ke dalam komputer, Elk Cloner akan menyalin dirinya sendiri ke disk itu, dan dengan cepat menyebar di antara sebagian besar teman Skranta. Meskipun berniat jahat, Elk Cloner secara tidak sengaja dapat menulis dan menghapus beberapa floppy disk. Selain itu, terdapat pula pesan puitis yang berbunyi:

ELK CLONER:

PROGRAM DENGAN KEPRIBADIAN

AKAN MASUK KE SEMUA DISK ANDA

AKAN MENYUSUP KE CHIP ANDA

YA, ITU LAH KLONER!

AKAN MENEMPEL SEPERTI LEM

AKAN MEMODIFIKASI RAM JUGA

KIRIMKAN KLONER!

Sementara worm Creeper dapat bergerak di seluruh komputer di ARPANET, sebelum adopsi internet secara luas, sebagian besar malware diteruskan melalui floppy disk seperti Elk Cloner. Namun, sementara efek Elk Cloner terkandung dalam satu klub komputer kecil, virus Otak menyebar ke seluruh dunia.

Dibuat oleh distributor perangkat lunak medis Pakistan, dan bersaudara, Amjad dan Basit Farooq Alvi, Brain dianggap sebagai virus pertama untuk Komputer Pribadi IBM dan awalnya dikembangkan untuk mencegah pelanggaran hak cipta. Virus ini dimaksudkan untuk mencegah pengguna menggunakan versi salinan perangkat lunak mereka. Saat dipasang, Brain akan menampilkan pesan yang meminta para perompak untuk memanggil rekan-rekan mereka untuk menerima vaksinasi. Meremehkan seberapa luas masalah pembajakan mereka, Alvis menerima panggilan pertama dari Amerika Serikat, diikuti oleh lebih banyak lagi dari seluruh dunia.

Morris worm adalah prekursor malware lain yang diciptakan bukan untuk niat jahat, tetapi sebagai bukti konsep. Sayangnya bagi sang pencipta, mahasiswa MIT Robert Morris, worm ini terbukti jauh lebih efektif daripada yang ia perkirakan. Pada saat itu, hanya sekitar 60.000 komputer yang memiliki akses ke internet, sebagian besar di universitas dan di dalam militer. Dirancang untuk mengeksploitasi pintu belakang pada sistem Unix, dan untuk tetap tersembunyi, worm ini dengan cepat menyebar, menyalin dirinya sendiri berulang kali dan menginfeksi 10% dari semua komputer jaringan.

Karena worm tidak hanya menyalin dirinya sendiri ke komputer lain tetapi juga menyalin dirinya sendiri berulang kali pada komputer yang terinfeksi, perangkat lunak ini secara tidak sengaja memakan memori dan membuat beberapa PC terhenti secara bertahap. Sebagai serangan siber internet pertama yang tersebar luas di dunia, insiden tersebut menyebabkan kerusakan yang diperkirakan mencapai kerugian hingga jutaan. Atas keterlibatannya dalam kejadian ini, Robert Morris adalah penjahat siber pertama yang pernah dihukum untuk penipuan siber di Amerika Serikat.

Meskipun tidak merusak seperti Morris worm, sekitar satu dekade kemudian Melissa menunjukkan betapa cepatnya malware dapat menyebar melalui email, menginfeksi sekitar satu juta akun email dan setidaknya 100.000 komputer di tempat kerja. Worm yang paling cepat menyebar pada masanya ini menyebabkan kelebihan beban pada server email Microsoft Outlook dan Microsoft Exchange yang mengakibatkan perlambatan di lebih dari 300 perusahaan dan lembaga pemerintah, termasuk Microsoft, Tim Tanggap Darurat Komputer Pentagon, dan sekitar 250 organisasi lainnya.

Kebutuhan melahirkan penemuan, ketika penduduk Filipina berusia 24 tahun, Onel de Guzman, mendapati dirinya tidak mampu membayar layanan internet dialup, ia membuat sebuah worm virus makro yang dapat mencuri kata sandi orang lain, menjadikan ILOVEYOU sebagai malware pertama sesungguhnya yang signifikan. Serangan ini merupakan contoh awal rekayasa sosial dan phishing. De Guzman menggunakan psikologi untuk memangsa rasa ingin tahu orang dan memanipulasi mereka untuk mengunduh lampiran email berbahaya yang disamarkan sebagai surat cinta. “Saya menemukan bahwa banyak orang menginginkan pacar, mereka menginginkan satu sama lain, mereka menginginkan cinta,” kata de Guzman. 

Setelah menginfeksi, worm tidak hanya mencuri kata sandi, tetapi juga menghapus file dan menyebabkan kerugian jutaan dolar, bahkan mematikan sistem komputer Parlemen Inggris untuk beberapa saat. Meskipun de Guzman ditangkap dan ditahan, semua tuduhan dibatalkan karena dia tidak benar-benar melanggar hukum setempat.

Mirip dengan ILOVEYOU, Mydoom worm juga menggunakan email untuk mereplikasi diri dan menginfeksi sistem di seluruh dunia. Setelah mengakar, Mydoom akan membajak komputer korban untuk mengirim lebih banyak salinan dirinya melalui email. Sangat efektif, spam Mydoom pernah mencapai 25% dari seluruh email yang dikirim ke seluruh dunia, sebuah rekor yang tidak pernah terpecahkan, dan akhirnya menyebabkan kerugian sebesar 35 miliar USD. Disesuaikan dengan inflasi, itu masih merupakan malware yang paling merusak secara moneter yang pernah ada.

Selain membajak program email untuk menginfeksi sebanyak mungkin sistem, Mydoom juga menggunakan komputer yang terinfeksi untuk membuat botnet dan meluncurkan serangan denial-of-service terdistribusi (DDoS). Terlepas dari dampaknya, penjahat siber di balik Mydoom tidak pernah tertangkap atau bahkan diidentifikasi.

Pertama kali diidentifikasi pada tahun 2007, Zeus menginfeksi komputer pribadi melalui phishing dan drive-by-download dan menunjukkan potensi berbahaya dari virus bergaya trojan yang dapat mengirimkan berbagai jenis perangkat lunak berbahaya. Pada tahun 2011, kode sumber dan buku petunjuknya bocor, memberikan data berharga bagi para profesional keamanan siber, dan juga peretas lainnya.

Salah satu contoh pertama ransomware, CryptoLocker dikenal karena penyebarannya yang cepat dan kemampuan enkripsi asimetris yang kuat (pada masanya). Didistribusikan melalui botnet jahat yang ditangkap oleh virus Zeus, CryptoLocker secara sistematis mengenkripsi data pada PC yang terinfeksi. Jika PC yang terinfeksi adalah klien dalam jaringan lokal, seperti perpustakaan atau kantor, sumber daya apa pun yang dipakai bersama akan menjadi target terlebih dahulu.

Untuk mendapatkan kembali akses ke sumber daya terenkripsi ini, pembuat CryptoLocker meminta tebusan dua bitcoin, yang saat itu bernilai sekitar 715 USD. Untungnya, pada tahun 2014, Departemen Kehakiman, yang bekerja sama dengan lembaga internasional, berhasil menguasai botnet jahat tersebut dan mendekripsi data sandera tanpa dipungut biaya. Sayangnya, program CyrptoLocker juga menyebar melalui serangan phishing dasar dan tetap menjadi ancaman terus-menerus.

Pernah disebut sebagai “raja malware” oleh Arne Schoenbohm, kepala Kantor Keamanan Informasi Jerman, Emotet trojan adalah contoh utama dari apa yang dikenal sebagai malware polimorfik yang menyulitkan para ahli keamanan informasi untuk membasmi sepenuhnya. Malware polimorfik bekerja dengan sedikit mengubah kodenya sendiri setiap kali mereproduksi, tidak membuat salinan yang persis sama, tetapi varian yang sama berbahayanya. Bahkan, ini lebih berbahaya karena trojan polimorfik lebih sulit untuk diidentifikasi dan diblokir oleh program anti-malware.

Seperti trojan Zeus, Emotet tetap menjadi program modular yang digunakan untuk mengirimkan bentuk malware lain dan sering dibagikan melalui serangan phishing tradisional.

Karena komputer terus berevolusi, bercabang dari desktop, ke laptop, ke perangkat seluler, dan segudang perangkat jaringan, begitu pula dengan malware. Dengan munculnya internet of things, perangkat IoT pintar menghadirkan gelombang kerentanan baru yang luas. Diciptakan oleh mahasiswa Paras Jha, botnet Mirai menemukan dan mengambil alih sejumlah besar kamera CCTV berkemampuan IoT yang sebagian besar memiliki keamanan yang lemah.

Awalnya dirancang untuk menargetkan server game untuk serangan DoS, botnet Mirai bahkan lebih kuat dari yang diperkirakan Jha. Dengan mengarahkan perhatiannya pada penyedia DNS utama, ini secara efektif memotong sebagian besar pesisir timur Amerika Serikat dari internet selama hampir satu hari penuh.

Meskipun malware telah berperan dalam perang siber selama bertahun-tahun, tahun 2017 merupakan tahun gemilang bagi serangan siber dan spionase virtual yang disponsori negara, dimulai dengan ransomware yang relatif tidak istimewa bernama Petya. Meskipun berbahaya, ransomware Petya menyebar melalui phishing dan tidak terlalu menular hingga dimodifikasi menjadi worm wiper NotPetya, sebuah program yang tampak seperti ransomware, tetapi menghancurkan data pengguna meskipun pembayaran tebusan dikirimkan. Pada tahun yang sama, worm ransomware WannaCry menyerang sejumlah target dengan profil tinggi di Eropa, terutama di Layanan Kesehatan Nasional Britania.

NotPetya diyakini terkait dengan intelijen Rusia, yang mungkin telah memodifikasi virus Petya untuk menyerang Ukraina, dan WannaCry mungkin terhubung dengan sektor musuh serupa dari pemerintah Korea Utara. Apa kesamaan kedua serangan malware ini? Keduanya diaktifkan oleh eksploitasi Microsoft Windows yang dijuluki Eternalblue, yang pertama kali ditemukan oleh Badan Keamanan Nasional. Meskipun Microsoft akhirnya menemukan dan menambal eksploitasi itu sendiri, mereka mengkritik NSA karena tidak melaporkannya sebelum peretas dapat memanfaatkan kerentanan tersebut.

Dalam beberapa tahun terakhir, malware ransomware telah berkembang pesat sekaligus meredup. Namun, meskipun contoh serangan ransomware yang berhasil mungkin menurun, para peretas menargetkan target dengan profil lebih tinggi dan menyebabkan kerusakan yang lebih besar. Sekarang, ransomware sebagai layanan (RaaS) adalah tren mengganggu yang secara bertahap menguat dalam beberapa tahun terakhir. Ditawarkan di pasar digital dark web, RaaS menyediakan protokol plug-and-play di mana para peretas profesional melakukan serangan ransomware dengan imbalan sejumlah uang. Sementara serangan malware sebelumnya membutuhkan keahlian teknis tingkat lanjut, kelompok penjahat siber yang menawarkan RaaS memberdayakan siapa pun yang memiliki niat buruk dan uang untuk dibelanjakan.

Serangan ransomware pemerasan ganda profil tinggi pertama terjadi pada tahun 2019, ketika para peretas menyusup ke agen kepegawaian keamanan Allied Universal, secara bersamaan mengenkripsi data mereka sambil mengancam untuk merilis data yang dicuri secara online. Lapisan ekstra ini berarti bahwa meskipun Allied Universal mampu mendekripsi file mereka, mereka masih akan mengalami pembobolan data yang merusak. Meskipun serangan ini penting, serangan Colonial Pipeline tahun 2021 lebih terkenal karena tingkat keparahan ancaman yang tersirat. Pada saat itu Colonial Pipeline bertanggung jawab atas 45% bensin dan bahan bakar jet Amerika Serikat bagian timur. Serangan yang berlangsung selama beberapa hari ini berdampak pada sektor publik dan swasta di sepanjang pantai timur, dan mendorong Presiden Biden untuk mengumumkan keadaan darurat sementara.

Meskipun serangan ransomware mungkin terlihat menurun, serangan efektif dengan target korban sangat spesifik terus menghadirkan ancaman yang mengerikan. Pada tahun 2022, Kosta Rika mengalami serangkaian serangan ransomware, yang pertama-tama melumpuhkan kementerian keuangan dan berdampak pada bisnis impor/ekspor penduduk sipil. Serangan berikutnya kemudian membuat sistem layanan kesehatan negara ini offline, yang berdampak langsung pada setiap warga negara di negara ini. Hasilnya, Kosta Rika tercatat dalam sejarah sebagai negara pertama yang mengumumkan keadaan darurat nasional akibat serangan siber.