Malwareyang merupakan bentuk singkat dari “malicious software”, mengacu pada perangkat lunak, kode, atau program komputer apa pun yang sengaja dirancang untuk membahayakan sistem komputer atau penggunanya. Hampir setiap serangan siber modern melibatkan beberapa jenis malware. Program-program berbahaya ini dapat berkisar dari tingkat keparahan yang sangat merusak dan mahal (ransomware) hingga yang hanya mengganggu, tetapi tidak berbahaya (adware).
Setiap tahun (tautan berada di luar ibm.com), ada miliaran serangan malware pada bisnis dan individu. Malware dapat menginfeksi semua jenis perangkat atau sistem operasi termasuk Windows, Mac, iPhone, dan Android.
Penjahat siber mengembangkan dan menggunakan malware untuk:
Meskipun istilah-istilah ini sering digunakan secara bergantian tidak semua jenis malware selalu merupakan virus. Malware adalah istilah umum yang menggambarkan berbagai jenis ancaman seperti:
Virus: Virus komputer didefinisikan sebagai program berbahaya yang tidak dapat bereplikasi tanpa interaksi manusia, baik melalui mengklik tautan, mengunduh lampiran, meluncurkan aplikasi tertentu, atau berbagai tindakan lainnya.
Worm: Pada dasarnya, worm adalah virus yang dapat mereplikasi diri sendiri, dan tidak membutuhkan interaksi manusia untuk menyebar, masuk ke dalam sistem komputer yang berbeda dan berpindah-pindah antar perangkat.
Botnet: Jaringan komputer yang terinfeksi di bawah kendali penyerang tunggal yang dikenal sebagai “penggembala bot” yang bekerja bersama secara serempak.
Ransomware: Salah satu jenis malware yang paling berbahaya, serangan ransomware mengendalikan sistem komputer yang penting atau data sensitif, mengunci pengguna dan meminta tebusan yang sangat tinggi dalam mata uang kripto seperti Bitcoin untuk mendapatkan akses kembali. Ransomware tetap menjadi salah satu jenis ancaman siber paling berbahaya saat ini.
Ransomware Multi-extortion: Seolah-olah serangan ransomware tidak cukup mengancam, ransomware multi-pemerasan menambahkan lapisan tambahan untuk menyebabkan kerusakan lebih lanjut atau menambah tekanan ekstra bagi korban untuk menyerah. Dalam kasus serangan ransomware double-extortion, malware tidak hanya digunakan untuk mengenkripsi data korban tetapi juga mengeksfiltrasi file sensitif, seperti informasi pelanggan, dengan ancaman untuk dirilis ke publik. Serangan triple-extortion bahkan lebih jauh lagi, dengan ancaman untuk mengganggu sistem penting atau memperluas serangan destruktif ke pelanggan atau kontak korban.
Virus makro: Makro adalah rangkaian perintah yang biasanya dibangun ke dalam aplikasi yang lebih besar untuk mengotomatiskan tugas-tugas sederhana dengan cepat. Virus makro memanfaatkan makro terprogram dengan menyematkan perangkat lunak berbahaya ke dalam file aplikasi yang akan dieksekusi ketika program terkait dibuka oleh pengguna.
Trojan: Dinamakan sesuai dengan Kuda Trojan yang terkenal, trojan menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya.
Spyware: Umum dalam spionase digital, spyware bersembunyi di dalam sistem yang terinfeksi untuk secara diam-diam mengumpulkan informasi sensitif dan mengirimkannya kembali ke penyerang.
Adware: Dianggap sebagian besar tidak berbahaya, adware biasanya ditemukan dibundel dengan perangkat lunak gratis dan mengirim spam kepada pengguna dengan pop-up yang tidak diinginkan atau iklan lainnya. Namun, beberapa adware mungkin memanen data pribadi atau mengarahkan browser web ke situs web berbahaya.
Rootkit: Jenis paket malware yang memungkinkan peretas untuk mendapatkan akses tingkat administrator ke sistem operasi komputer atau aset lainnya.
Karena volume dan variasi yang besar, riwayat lengkap malware akan terlalu panjang. Sebagai gantinya, berikut adalah beberapa momen terkenal dalam evolusi malware.
Ketika komputer modern pertama dibuat, matematikawan perintis dan kontributor Manhattan Project, John von Neumann, mengembangkan konsep program yang dapat mereproduksi dan menyebarkan dirinya sendiri ke seluruh sistem. Diterbitkan secara anumerta pada tahun 1966, karyanya, Theory of Self-Reducing Automata (tautan berada di luar ibm.com), berfungsi sebagai landasan teoritis untuk virus komputer.
Hanya lima tahun setelah karya teoretis John von Neumann diterbitkan, seorang programmer bernama Bob Thomas menciptakan program eksperimental yang disebut Creeper, yang dirancang untuk berpindah di antara komputer yang berbeda di ARPANET (tautan berada di luar ibm.com), cikal bakal Internet modern. Rekannya, Ray Tomlinson, yang dianggap sebagai penemu email, memodifikasi program Creeper untuk tidak hanya berpindah antar komputer, tetapi juga menyalin dirinya sendiri dari satu komputer ke komputer lain. Dengan demikian, lahirlah worm komputer pertama.
Meskipun Creeper adalah contoh pertama yang diketahui dari worm, sebenarnya itu bukan malware. Sebagai bukti konsep, Creeper tidak dibuat dengan niat jahat dan tidak merusak atau mengganggu sistem yang diinfeksinya, melainkan hanya menampilkan pesan aneh: “SAYA CREEPER: TANGKAP SAYA JIKA BISA”. Mengambil tantangannya sendiri, di tahun berikutnya Tomlinson juga menciptakan Reaper, perangkat lunak antivirus pertama yang dirancang untuk menghapus Creeper dengan cara yang sama dengan bergerak melintasi ARPANET.
Dikembangkan oleh Rich Skrenta saat ia baru berusia 15 tahun, program Elk Cloner dimaksudkan sebagai lelucon praktis. Sebagai anggota klub komputer di sekolah menengahnya, Skranta dikenal di antara teman-temannya sebagai orang yang suka mengubah permainan dan perangkat lunak lain yang dibagikan di antara anggota klub, sampai ke titik di mana banyak anggota yang menolak untuk menerima disket dari orang yang dikenal jahil itu.
Dalam upaya untuk mengubah perangkat lunak disk yang tidak dapat dia akses secara langsung, Skranta menemukan virus pertama yang diketahui untuk komputer Apple. Apa yang sekarang kita sebut virus sektor boot, Elk Cloner menyebar dengan menginfeksi sistem operasi Apple DOS 3.3 dan setelah ditransfer dari floppy disk yang terinfeksi, akan menyalin dirinya sendiri ke memori komputer. Ketika disk yang tidak terinfeksi kemudian dimasukkan ke dalam komputer, Elk Cloner akan menyalin dirinya sendiri ke disk itu, dan dengan cepat menyebar di antara sebagian besar teman Skranta. Meskipun berniat jahat, Elk Cloner secara tidak sengaja dapat menulis dan menghapus beberapa floppy disk. Selain itu, terdapat pula pesan puitis yang berbunyi:
ELK CLONER:
PROGRAM DENGAN KEPRIBADIAN
AKAN MASUK KE SEMUA DISK ANDA
AKAN MENYUSUP KE CHIP ANDA
YA, ITU LAH KLONER!
AKAN MENEMPEL SEPERTI LEM
AKAN MEMODIFIKASI RAM JUGA
KIRIMKAN KLONER!
Sementara worm Creeper dapat bergerak di seluruh komputer di ARPANET, sebelum adopsi internet secara luas, sebagian besar malware diteruskan melalui floppy disk seperti Elk Cloner. Namun, sementara efek Elk Cloner terkandung dalam satu klub komputer kecil, virus Otak menyebar ke seluruh dunia.
Dibuat oleh distributor perangkat lunak medis Pakistan, dan bersaudara, Amjad dan Basit Farooq Alvi, Brain dianggap sebagai virus pertama untuk Komputer Pribadi IBM dan awalnya dikembangkan untuk mencegah pelanggaran hak cipta. Virus ini dimaksudkan untuk mencegah pengguna menggunakan versi salinan perangkat lunak mereka. Saat dipasang, Brain akan menampilkan pesan yang meminta para perompak untuk memanggil rekan-rekan mereka untuk menerima vaksinasi. Meremehkan seberapa luas masalah pembajakan mereka, Alvis menerima panggilan pertama dari Amerika Serikat, diikuti oleh lebih banyak lagi dari seluruh dunia.
Morris worm adalah prekursor malware lain yang diciptakan bukan untuk niat jahat, tetapi sebagai bukti konsep. Sayangnya bagi sang pencipta, mahasiswa MIT Robert Morris, worm ini terbukti jauh lebih efektif daripada yang ia perkirakan. Pada saat itu, hanya sekitar 60.000 komputer yang memiliki akses ke internet, sebagian besar di universitas dan di dalam militer. Dirancang untuk mengeksploitasi pintu belakang pada sistem Unix, dan untuk tetap tersembunyi, worm ini dengan cepat menyebar, menyalin dirinya sendiri berulang kali dan menginfeksi 10% dari semua komputer jaringan.
Karena worm tidak hanya menyalin dirinya sendiri ke komputer lain tetapi juga menyalin dirinya sendiri berulang kali pada komputer yang terinfeksi, ia secara tidak sengaja memakan memori dan membuat beberapa PC terhenti. Sebagai serangan siber internet pertama yang tersebar luas di dunia, insiden tersebut menyebabkan kerusakan yang diperkirakan mencapai jutaan. Untuk hal yang dilakukannya, Robert Morris adalah penjahat siber pertama yang pernah dihukum untuk penipuan siber di Amerika Serikat.
Meskipun tidak merusak seperti Morris worm, sekitar satu dekade kemudian Melissa menunjukkan betapa cepatnya malware dapat menyebar melalui email, menginfeksi sekitar satu juta akun email dan setidaknya 100.000 komputer di tempat kerja. Worm yang paling cepat menyebar pada masanya ini menyebabkan kelebihan beban pada server email Microsoft Outlook dan Microsoft Exchange yang mengakibatkan perlambatan di lebih dari 300 perusahaan dan lembaga pemerintah, termasuk Microsoft, Tim Tanggap Darurat Komputer Pentagon, dan sekitar 250 organisasi lainnya.
Kebutuhan adalah ibu dari segala penemuan, ketika penduduk Filipina berusia 24 tahun, Onel de Guzman, mendapati dirinya tidak mampu membayar layanan internet dialup, ia membuat sebuah worm virus makro yang dapat mencuri kata sandi orang lain, sehingga menjadikan ILOVEYOU sebagai malware pertama yang signifikan. Serangan ini merupakan contoh awal rekayasa sosial dan phishing. De Guzman menggunakan psikologi untuk memangsa rasa ingin tahu orang-orang dan memanipulasi mereka untuk mengunduh lampiran email berbahaya yang disamarkan sebagai surat cinta. “Saya menemukan bahwa banyak orang menginginkan pacar, mereka menginginkan satu sama lain, mereka menginginkan cinta,” kata de Guzman.
Setelah menginfeksi, worm tidak hanya mencuri kata sandi, tetapi juga menghapus file dan menyebabkan kerugian jutaan dolar, bahkan mematikan sistem komputer Parlemen Inggris untuk beberapa saat. Meskipun de Guzman ditangkap dan ditahan, semua tuduhan dibatalkan karena dia tidak benar-benar melanggar hukum setempat.
Mirip dengan ILOVEYOU, Mydoom worm juga menggunakan email untuk mereplikasi diri dan menginfeksi sistem di seluruh dunia. Setelah mengakar, Mydoom akan membajak komputer korban untuk mengirim lebih banyak salinan dirinya melalui email. Sangat efektif, spam Mydoom pernah mencapai 25% dari seluruh email yang dikirim ke seluruh dunia, sebuah rekor yang tidak pernah terpecahkan, dan akhirnya menyebabkan kerugian sebesar 35 miliar USD. Disesuaikan dengan inflasi, itu masih merupakan malware yang paling merusak secara moneter yang pernah ada.
Selain membajak program email untuk menginfeksi sebanyak mungkin sistem, Mydoom juga menggunakan komputer yang terinfeksi untuk membuat botnet dan meluncurkan denial-of-service terdistribusi (DDoS). Terlepas dari dampaknya, penjahat siber di balik Mydoom tidak pernah tertangkap atau bahkan diidentifikasi.
Pertama kali diidentifikasi pada tahun 2007, Zeus menginfeksi komputer pribadi melalui phishing dan drive-by-download dan menunjukkan potensi berbahaya dari virus bergaya trojan yang dapat mengirimkan berbagai jenis perangkat lunak berbahaya. Pada tahun 2011, kode sumber dan buku petunjuknya bocor, memberikan data berharga bagi para profesional keamanan siber, dan juga peretas lainnya.
Salah satu contoh pertama ransomware, CryptoLocker dikenal karena penyebarannya yang cepat dan kemampuan enkripsi asimetris yang kuat (pada masanya). Didistribusikan melalui botnet jahat yang ditangkap oleh virus Zeus, CryptoLocker secara sistematis mengenkripsi data pada PC yang terinfeksi. Jika PC yang terinfeksi adalah klien dalam jaringan lokal, seperti perpustakaan atau kantor, sumber daya apa pun yang dipakai bersama akan menjadi target terlebih dahulu.
Untuk mendapatkan kembali akses ke sumber daya terenkripsi ini, pembuat CryptoLocker meminta tebusan dua bitcoin, yang saat itu bernilai sekitar 715 USD. Untungnya, pada tahun 2014, Departemen Kehakiman, yang bekerja sama dengan lembaga internasional, berhasil menguasai botnet jahat tersebut dan mendekripsi data sandera tanpa dipungut biaya. Sayangnya, program CyrptoLocker juga menyebar melalui serangan phishing dasar dan tetap menjadi ancaman terus-menerus.
Pernah disebut sebagai “raja malware” oleh Arne Schoenbohm, kepala Kantor Keamanan Informasi Jerman, Emotet trojan adalah contoh utama dari apa yang dikenal sebagai malware polimorfik yang menyulitkan para ahli keamanan informasi untuk membasmi sepenuhnya. Malware polimorfik bekerja dengan sedikit mengubah kodenya sendiri setiap kali mereproduksi, tidak membuat salinan yang persis sama, tetapi varian yang sama berbahayanya. Bahkan, ini lebih berbahaya karena trojan polimorfik lebih sulit untuk diidentifikasi dan diblokir oleh program anti-malware.
Seperti trojan Zeus, Emotet tetap menjadi program modular yang digunakan untuk mengirimkan bentuk malware lain dan sering dibagikan melalui serangan phishing tradisional.
Karena komputer terus berevolusi, bercabang dari desktop, ke laptop, ke perangkat seluler, dan segudang perangkat jaringan, begitu pula dengan malware. Dengan munculnya internet of things, perangkat IoT pintar menghadirkan gelombang kerentanan baru yang luas. Diciptakan oleh mahasiswa Paras Jha, botnet Mirai menemukan dan mengambil alih sejumlah besar kamera CCTV berkemampuan IoT yang sebagian besar memiliki keamanan yang lemah.
Awalnya dirancang untuk menargetkan server game untuk serangan DoS, botnet Mirai bahkan lebih kuat dari yang diperkirakan Jha. Dengan mengarahkan perhatiannya pada penyedia DNS utama, ini secara efektif memotong sebagian besar pesisir timur Amerika Serikat dari internet selama hampir satu hari penuh.
Meskipun malware telah berperan dalam perang siber selama bertahun-tahun, tahun 2017 merupakan tahun gemilang bagi serangan siber dan spionase virtual yang disponsori negara, dimulai dengan ransomware yang relatif biasa-biasa saja bernama Petya. Meskipun berbahaya, ransomware Petya menyebar melalui phishing dan tidak terlalu menular hingga dimodifikasi menjadi worm wiper NotPetya, sebuah program yang tampak seperti ransomware, tetapi menghancurkan data pengguna meskipun pembayaran tebusan dikirimkan. Pada tahun yang sama juga terjadi ransomware WannaCry (tautan berada di luar ibm.com) worm menyerang sejumlah target penting di Eropa, khususnya di Layanan Kesehatan Nasional Inggris.
NotPetya diyakini terkait dengan intelijen Rusia, yang mungkin telah memodifikasi virus Petya untuk menyerang Ukraina, dan WannaCry mungkin terhubung dengan sektor musuh serupa dari pemerintah Korea Utara. Apa kesamaan kedua serangan malware ini? Keduanya diaktifkan oleh eksploitasi Microsoft Windows yang dijuluki Eternalblue, yang pertama kali ditemukan oleh Badan Keamanan Nasional. Meskipun Microsoft akhirnya menemukan dan menambal eksploitasi itu sendiri, mereka mengkritik NSA karena tidak melaporkannya sebelum peretas dapat memanfaatkan kerentanan tersebut.
Dalam beberapa tahun terakhir, malware ransomware telah berkembang pesat sekaligus meredup. Namun, meskipun contoh serangan ransomware yang berhasil mungkin menurun, para peretas menargetkan target yang lebih berprofil tinggi dan menyebabkan kerusakan yang lebih besar. Saat ini, Ransomware-sebagai-Layanan adalah tren yang meresahkan yang telah mendapatkan momentum dalam beberapa tahun terakhir. Ditawarkan di pasar dark web, RaaS menyediakan protokol plug-and-play di mana para peretas profesional melakukan serangan ransomware dengan imbalan sejumlah uang. Sementara serangan malware sebelumnya membutuhkan keahlian teknis tingkat lanjut, kelompok tentara bayaran yang menawarkan RaaS memberdayakan siapa pun yang memiliki niat buruk dan uang untuk dibelanjakan.
Serangan ransomware pemerasan ganda profil tinggi pertama terjadi pada tahun 2019, ketika para peretas menyusup ke agen kepegawaian keamanan Allied Universal, secara bersamaan mengenkripsi data mereka sambil mengancam untuk merilis data yang dicuri secara online. Lapisan ekstra ini berarti bahwa meskipun Allied Universal mampu mendekripsi file mereka, mereka masih akan mengalami pembobolan data yang merusak. Meskipun serangan ini penting, serangan Colonial Pipeline tahun 2021 lebih terkenal karena tingkat keparahan ancaman yang tersirat. Pada saat itu Colonial Pipeline bertanggung jawab atas 45% bensin dan bahan bakar jet Amerika Serikat bagian timur. Serangan yang berlangsung selama beberapa hari ini berdampak pada sektor publik dan swasta di sepanjang pantai timur, dan mendorong Presiden Biden untuk mengumumkan keadaan darurat sementara.
Meskipun serangan ransomware mungkin terlihat menurun, serangan yang ditargetkan dengan sangat baik dan efektif terus menghadirkan ancaman yang mengerikan. Pada tahun 2022, Kosta Rika mengalami serangkaian serangan ransomware (tautan berada di luar ibm.com), yang pertama melumpuhkan kementerian keuangan dan berdampak bahkan pada bisnis impor/ekspor sipil. Serangan berikutnya kemudian membuat sistem layanan kesehatan negara ini offline, yang secara langsung berdampak pada setiap warga negara. Hasilnya, Kosta Rika mencatat sejarah sebagai negara pertama yang mengumumkan keadaan darurat nasional dalam menanggapi serangan siber.
Jelajahi solusi ransomware QRadar SIEM