Apa itu malware?

Kejahatan siber adalah industri yang sangat besar. Menurut salah satu perkiraan (tautan berada di luar ibm.com), ini akan menjadi ekonomi terbesar ketiga di dunia setelah Amerika Serikat dan Tiongkok, yang diproyeksikan bernilai 10,5 triliun USD pada tahun 2025.  

Di dalam industri ini, para peretas terus-menerus mengembangkan jenis malware baru dengan fitur dan fungsionalitas baru. Jenis-jenis malware ini memunculkan varian-varian baru dari waktu ke waktu untuk menghindari perangkat lunak keamanan dengan lebih baik. Diperkirakan bahwa (tautan berada di luar ibm.com) lebih dari 1 miliar strain dan varian malware yang berbeda telah dibuat sejak 1980-an, sehingga sulit bagi para profesional keamanan siber untuk mengikutinya.

Para peretas sering kali membagikan malware mereka dengan membuat kode sumber terbuka atau menjualnya kepada penjahat lain. Pengaturan malware-as-a-service  sangat umum di antara para pengembang ransomware, sehingga penjahat dengan keahlian teknis yang minim pun bisa meraup keuntungan dari kejahatan siber.

Meskipun lanskap selalu berubah, jenis malware dapat dikategorikan ke dalam beberapa jenis yang umum.

Istilah "malware" dan "virus komputer" sering digunakan sebagai sinonim, tetapi virus secara teknis adalah jenis malware tertentu. Secara khusus, virus adalah kode berbahaya yang membajak perangkat lunak yang sah untuk merusak dan menyebarkan salinannya.

Virus tidak bisa bertindak sendiri. Sebaliknya, mereka menyembunyikan potongan kode mereka di program eksekusi lainnya. Ketika pengguna memulai program, virus mulai berjalan juga. Virus biasanya dirancang untuk menghapus data penting, mengganggu operasi normal, dan menyebarkan salinan diri mereka ke program lain di komputer yang terinfeksi.

Sebagian besar ancaman malware paling awal adalah virus. Elk Cloner, mungkin malware pertama yang menyebar melalui perangkat publik, adalah virus yang menargetkan komputer Apple.

Botnet adalah jaringan perangkat yang terhubung ke internet dan terinfeksi malware di bawah kendali peretas. Botnet dapat mencakup PC, perangkat seluler, perangkat Internet of Things (IoT), dan banyak lagi. Korban sering tidak menyadari ketika perangkat mereka adalah bagian dari botnet. Peretas sering menggunakan botnet untuk meluncurkan serangan DDoS, yang membombardir jaringan target dengan begitu banyak lalu lintas sehingga melambat hingga merangkak atau mati sepenuhnya.

Mirai, salah satu botnet paling terkenal, bertanggung jawab atas serangan besar-besaran pada tahun 2016 terhadap penyedia Sistem Nama Domain Dyn. Serangan ini menargetkan situs web populer seperti Twitter dan Reddit untuk jutaan pengguna di AS dan Eropa (tautan berada di luar ibm.com).

Cryptojacker adalah malware yang mengendalikan perangkat dan menggunakannya untuk menambang cryptocurrency, seperti bitcoin, tanpa sepengetahuan pemiliknya. Pada dasarnya, cryptojacker membuat botnet cryptomining.

Menambang cryptocurrency adalah tugas yang sangat intensif komputasi dan mahal. Penjahat siber mendapatkan keuntungan sementara pengguna komputer yang terinfeksi mengalami perlambatan kinerja dan kerusakan. Cryptojacker sering menargetkan infrastruktur cloud perusahaan, memungkinkan mereka untuk mengumpulkan lebih banyak sumber daya untuk cryptomining daripada menargetkan komputer individu. 

Malware tanpa file adalah jenis serangan yang menggunakan kerentanan pada program perangkat lunak yang sah seperti peramban web dan pengolah kata untuk menyuntikkan kode berbahaya secara langsung ke dalam memori komputer. Karena kode berjalan di memori, kode tidak meninggalkan jejak pada hard drive. Karena menggunakan perangkat lunak yang sah, ini sering menghindari deteksi.

Banyak serangan malware tanpa file menggunakan PowerShell, sebuah antarmuka baris perintah dan alat skrip yang ada di dalam sistem operasi Microsoft Windows. Peretas dapat menjalankan skrip PowerShell untuk mengubah konfigurasi, mencuri kata sandi, atau menyebabkan kerusakan lainnya.

Makro berbahaya adalah vektor umum lainnya untuk serangan tanpa file. Aplikasi seperti Microsoft Word dan Excel memungkinkan pengguna untuk menentukan makro, serangkaian perintah yang mengotomatiskan tugas-tugas sederhana seperti memformat teks atau melakukan perhitungan. Peretas dapat menyimpan skrip berbahaya di dalam makro ini; ketika pengguna membuka file, skrip tersebut secara otomatis dijalankan.

Worm adalah program jahat yang mereplikasi diri sendiri yang dapat menyebar di antara aplikasi dan perangkat tanpa interaksi manusia. (Bandingkan dengan virus, yang hanya dapat menyebar jika pengguna menjalankan program yang disusupi). Sementara beberapa cacing tidak lebih dari sekadar menyebar, banyak cacing yang memiliki konsekuensi yang lebih parah. Sebagai contoh, ransomware WannaCry, yang menyebabkan kerugian sekitar USD 4 miliar, merupakan sebuah worm yang memaksimalkan dampaknya dengan secara otomatis menyebar di antara perangkat-perangkat yang terhubung.

Trojan horse menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya. Trojan akses jarak jauh atau “RAT” membuat pintu belakang rahasia pada perangkat yang terinfeksi. Jenis Trojan lain yang disebut “dropper”, menginstal malware tambahan setelah memiliki pijakan. Ryuk, salah satu jenis ransomware terbaru yang paling menghancurkan, menggunakan Emotet Trojan untuk menginfeksi perangkat.

Rootkits adalah paket malware yang memungkinkan peretas untuk mendapatkan akses tingkat administrator yang istimewa ke sistem operasi komputer atau aset lainnya. Peretas kemudian dapat menggunakan izin yang lebih tinggi ini untuk melakukan apa saja yang mereka inginkan, seperti menambah dan menghapus pengguna atau mengonfigurasi ulang aplikasi. Peretas sering kali menggunakan rootkit untuk menyembunyikan proses berbahaya atau menonaktifkan perangkat lunak keamanan yang mungkin menangkap mereka.

Scareware menakut-nakuti pengguna agar mengunduh malware atau memberikan informasi sensitif kepada penipu. Scareware sering muncul sebagai pop-up tiba-tiba dengan pesan mendesak, biasanya memperingatkan pengguna bahwa mereka telah melanggar hukum atau perangkat mereka terkena virus. Pop-up mengarahkan pengguna untuk membayar “denda” atau mengunduh perangkat lunak keamanan palsu yang ternyata merupakan malware yang sebenarnya.

Spyware bersembunyi di komputer yang terinfeksi, diam-diam mengumpulkan informasi sensitif dan mengirimkannya kembali ke penyerang. Salah satu jenis spyware yang umum, yang disebut keylogger, merekam semua penekanan tombol pengguna, memungkinkan peretas untuk memanen nama pengguna, kata sandi, nomor rekening bank dan kartu kredit, nomor Jaminan Sosial, dan data sensitif lainnya.

Adware mengirim spam ke perangkat dengan iklan pop-up yang tidak diinginkan. Adware sering kali disertakan dengan perangkat lunak gratis, tanpa sepengetahuan pengguna. Ketika pengguna menginstal program, tanpa disadari mereka juga menginstal adware. Sebagian besar adware tidak lebih dari sekadar gangguan, tetapi ada juga yang mengambil data pribadi, mengarahkan peramban web ke situs web berbahaya, atau bahkan mengunduh lebih banyak malware ke perangkat pengguna jika mereka mengklik salah satu iklan pop-up.

Ransomware mengunci perangkat atau data korban dan meminta pembayaran tebusan, biasanya dalam bentuk mata uang kripto, untuk membukanya. Menurut Indeks X-Force Threat Intelligence IBM, ransomware adalah jenis serangan siber kedua yang paling umum, menyumbang 17% serangan.

Serangan ransomware yang paling dasar membuat aset tidak dapat digunakan sampai tebusan dibayarkan, tetapi penjahat siber dapat menggunakan taktik tambahan untuk meningkatkan tekanan pada korban.

Dalam serangan pemerasan ganda, penjahat siber mencuri data dan mengancam akan membocorkannya jika tidak dibayar. Dalam serangan pemerasan tiga kali lipat, peretas mengenkripsi data korban, mencurinya, dan mengancam untuk membuat sistem offline melalui serangan denial-of-service terdistribusi (DDoS).

Tuntutan tebusan dapat berkisar dari puluhan ribu hingga jutaan dolar AS. Menurut sebuah laporan (tautan berada di luar ibm.com), rata-rata pembayaran tebusan adalah 812.360 USD. Sekalipun korbannya tidak membayar, ransomware membutuhkan biaya yang besar. Laporan IBM tentang Biaya Pelanggaran Data menemukan bahwa rata-rata biaya serangan ransomware mencapai 4,54 juta USD, tidak termasuk uang tebusan. 

Peretas menggunakan malware akses jarak jauh untuk mendapatkan akses ke komputer, server, atau perangkat lain dengan membuat atau mengeksploitasi pintu belakang. Menurut Indeks Intelijen Ancaman X-Force, menanam pintu belakang adalah tujuan paling umum bagi para peretas, yang mencakup 21% serangan.

Backdoor memungkinkan penjahat siber untuk melakukan banyak hal. Mereka dapat mencuri data atau kredensi, mengendalikan perangkat, atau menginstal malware yang lebih berbahaya seperti ransomware. Beberapa peretas menggunakan malware akses jarak jauh untuk membuat backdoor yang dapat mereka jual ke peretas lain, yang masing-masing dapat memperoleh beberapa ribu dolar AS.

Beberapa malware akses jarak jauh, seperti Back Orifice atau CrossRAT, sengaja dibuat untuk tujuan jahat. Peretas juga dapat memodifikasi atau menyalahgunakan perangkat lunak yang sah untuk mengakses perangkat dari jarak jauh. Secara khusus, penjahat dunia maya menggunakan kredensial yang dicuri untuk protokol desktop jarak jauh Microsoft (RDP) sebagai pintu belakang. 

Serangan malware tidak dapat dihindari, tetapi ada beberapa langkah yang dapat diambil oleh organisasi untuk memperkuat pertahanannya. Langkah-langkah ini meliputi:

Pelatihan kesadaran keamanan: Banyak infeksi malware diakibatkan oleh pengguna yang mengunduh perangkat lunak palsu atau terjebak dalam penipuan phishing. Pelatihan kesadaran keamanan dapat membantu pengguna mengenali serangan rekayasa sosial, situs web berbahaya, dan aplikasi palsu. Pelatihan kesadaran keamanan juga dapat mengedukasi pengguna tentang apa yang harus dilakukan dan siapa yang harus dihubungi jika mereka mencurigai adanya ancaman malware.

Kebijakan keamanan: Membutuhkan kata sandi yang kuat, autentikasi multi-faktor, dan VPN ketika mengakses aset sensitif melalui wifi yang tidak aman dapat membantu membatasi akses peretas ke akun pengguna. Menerapkan jadwal rutin untuk manajemen patch, penilaian kerentanan, dan pengujian penetrasi juga dapat membantu menangkap kerentanan perangkat lunak dan perangkat sebelum penjahat siber mengeksploitasinya. Kebijakan untuk mengelola perangkat BYOD (bawa perangkat sendiri) dan mencegah IT bayangan dapat membantu mencegah pengguna tanpa sadar membawa malware ke dalam jaringan perusahaan.

Cadangan: Menyimpan cadangan data sensitif dan gambar sistem yang diperbarui, idealnya pada hard drive atau perangkat lain yang dapat diputuskan dari jaringan, dapat mempermudah pemulihan dari serangan malware.

Arsitektur jaringan zero trust: Zero trust adalah pendekatan keamanan jaringan di mana pengguna tidak pernah dipercaya dan selalu diverifikasi. Secara khusus, zero trust mengimplementasikan prinsip hak istimewa paling rendah, mikrosegmentasi jaringan, dan autentikasi adaptif berkelanjutan untuk memastikan bahwa tidak ada pengguna atau perangkat yang bisa mengakses data sensitif atau aset yang tidak seharusnya. Jika malware masuk ke jaringan, kontrol ini dapat membatasi pergerakannya.

Rencana respons insiden: Membuat rencana respons insiden untuk berbagai jenis malware sebelumnya dapat membantu tim keamanan siber memberantas infeksi malware dengan lebih cepat. 

Selain taktik manual yang diuraikan di atas, tim keamanan siber dapat menggunakan solusi keamanan untuk mengotomatiskan aspek-aspek penghapusan, deteksi, dan pencegahan malware. Alat bantu yang umum digunakan antara lain:

Perangkat lunak antivirus: Juga disebut perangkat lunak "anti-malware", program antivirus memindai sistem untuk mencari tanda-tanda infeksi. Selain memperingatkan pengguna, banyak program antivirus dapat secara otomatis mengisolasi dan menghapus malware setelah terdeteksi.

Firewall: Firewall dapat memblokir beberapa lalu lintas berbahaya agar tidak mencapai jaringan. Jika malware berhasil masuk ke perangkat jaringan, firewall dapat membantu menggagalkan komunikasi keluar ke peretas, seperti keylogger yang mengirimkan penekanan tombol kembali ke penyerang. 

Platform informasi keamanan dan manajemen peristiwa (SIEM): SIEM mengumpulkan informasi dari alat keamanan internal, menggabungkannya dalam log pusat dan anomali bendera. Karena SIEM memusatkan peringatan dari berbagai sumber, mereka dapat mempermudah untuk menemukan tanda-tanda halus malware.

Platform orkestrasi, otomasi, dan respons keamanan (SOAR): SOAR mengintegrasikan dan mengoordinasikan alat keamanan yang berbeda, memungkinkan tim keamanan membuat buku pedoman semi atau sepenuhnya otomatis untuk merespons malware secara real-time.

Platform deteksi dan respons titik akhir (EDR): EDR memantau perangkat titik akhir, seperti ponsel cerdas, laptop, dan server, untuk mencari tanda-tanda aktivitas yang mencurigakan, dan mereka dapat merespons secara otomatis malware yang terdeteksi .

Platform deteksi dan respons yang diperluas (XDR): XDR mengintegrasikan alat dan operasi keamanan di seluruh lapisan keamanan, yaitu pengguna, titik akhir, email, aplikasi, jaringan, beban kerja cloud, dan data. XDR dapat membantu mengotomatiskan proses pencegahan, deteksi, investigasi, dan respons malware yang kompleks, termasuk perburuan ancaman secara proaktif.

Alat manajemen permukaan serangan (ASM): Alat ASM terus menemukan, menganalisis, memperbaiki, dan memantau semua aset dalam jaringan organisasi. ASM dapat berguna dalam membantu tim keamanan siber menangkap aplikasi dan perangkat IT bayangan yang tidak sah yang mungkin membawa malware.

Manajemen titik akhir terpadu (UEM): Perangkat lunak UEM memantau, mengelola, dan mengamankan semua perangkat pengguna akhir organisasi, termasuk desktop, laptop, dan perangkat seluler. Banyak organisasi menggunakan solusi UEM untuk membantu memastikan perangkat BYOD karyawan tidak membawa malware ke dalam jaringan perusahaan.