Apa itu malware?

Hampir setiap serangan siber modern melibatkan sejenis malware. Program jahat ini dapat mengambil banyak bentuk, mulai dari ransomware yang sangat merusak dan mahal hingga adware yang hanya mengganggu, tergantung pada apa yang ingin dilakukan oleh penjahat siber.

Penjahat siber mengembangkan dan menggunakan malware untuk:

• Menyandera perangkat, data, atau seluruh jaringan perusahaan demi mendapatkan uang dalam jumlah besar.
  
  
• Mendapatkan akses tidak sah ke data sensitif atau aset digital.
  
  
• Mencuri kredensial login, nomor kartu kredit, kekayaan intelektual, atau informasi berharga lainnya.
  
  
• Mengganggu sistem kritis yang diandalkan oleh bisnis dan lembaga pemerintah.

Ada miliaran serangan malware setiap tahun, dan infeksi malware dapat terjadi pada perangkat atau sistem operasi apa pun. Sistem Windows, Mac, iOS, dan Android semuanya bisa menjadi korban.

Semakin banyak serangan malware menargetkan bisnis daripada pengguna individu, karena peretas telah belajar bahwa lebih menguntungkan untuk menargetkan organisasi. Perusahaan sering menyimpan sejumlah besar data pribadi, dan para peretas mengeksploitasi fakta ini untuk memeras sejumlah besar uang dari mereka. Para peretas dapat menggunakan data pribadi ini untuk pencurian identitas atau menjualnya di dark web.

Kejahatan siber adalah industri yang sangat besar. Menurut salah satu perkiraan, kejahatan siber akan menjadi ekonomi terbesar ketiga di dunia setelah Amerika Serikat dan Tiongkok, yang diproyeksikan bernilai 10,5 triliun USD pada tahun 2025.

Di dalam industri ini, para peretas terus-menerus mengembangkan jenis malware baru dengan fitur dan fungsionalitas baru. Jenis-jenis malware ini memunculkan varian-varian baru dari waktu ke waktu untuk menghindari perangkat lunak keamanan dengan lebih baik. Diperkirakan bahwa lebih dari 1 miliar jenis dan varian malware yang berbeda telah dibuat sejak tahun 1980-an, sehingga menyulitkan para profesional keamanan siber untuk mengikutinya.

Para peretas sering kali membagikan malware mereka dengan membuat kode sumber terbuka atau menjualnya kepada penjahat lain. Pengaturan malware-as-a-service  sangat umum di antara para pengembang ransomware, sehingga penjahat dengan keahlian teknis yang minim pun bisa meraup keuntungan dari kejahatan siber.

Meskipun lanskap selalu berubah, jenis malware dapat dikategorikan ke dalam beberapa jenis yang umum.

Istilah "malware" dan "virus komputer" sering digunakan sebagai sinonim, tetapi virus secara teknis adalah jenis malware tertentu. Secara khusus, virus adalah kode berbahaya yang membajak perangkat lunak yang sah untuk merusak dan menyebarkan salinannya.

Virus tidak bisa bertindak sendiri. Sebaliknya, mereka menyembunyikan potongan kode mereka di program eksekusi lainnya. Ketika pengguna memulai program, virus mulai berjalan juga. Virus biasanya dirancang untuk menghapus data penting, mengganggu operasi normal, dan menyebarkan salinan diri mereka ke program lain di komputer yang terinfeksi.

Sebagian besar ancaman malware paling awal adalah virus. Elk Cloner, mungkin malware pertama yang menyebar melalui perangkat publik, adalah virus yang menargetkan komputer Apple.

Ransomware mengunci perangkat atau data korban dan meminta pembayaran tebusan, biasanya dalam bentuk mata uang kripto, untuk membukanya. Menurut Indeks X-Force Threat Intelligence IBM, ransomware adalah jenis serangan siber kedua yang paling umum, menyumbang 17% serangan.

Serangan ransomware yang paling dasar membuat aset tidak dapat digunakan sampai tebusan dibayarkan, tetapi penjahat siber dapat menggunakan taktik tambahan untuk meningkatkan tekanan pada korban.

Dalam serangan pemerasan ganda, penjahat siber mencuri data dan mengancam akan membocorkannya jika tidak dibayar. Dalam serangan pemerasan tiga kali lipat, peretas mengenkripsi data korban, mencurinya, dan mengancam untuk membuat sistem offline melalui serangan denial-of-service terdistribusi (DDoS).

Tuntutan tebusan dapat berkisar dari puluhan ribu hingga jutaan dolar AS. Menurut sebuah laporan, rata-rata pembayaran tebusan adalah USD 812.360. Sekalipun korbannya tidak membayar, ransomware membutuhkan biaya yang besar. Laporan Biaya Pelanggaran DataIBM menemukan rata-rata serangan ransomware menelan biaya USD 4,38 juta dengan melibatkan penegakan hukum, hingga USD 5,37 juta tanpa penegakan hukum, angka biaya ini tidak termasuk tebusan itu sendiri.

Peretas menggunakan malware akses jarak jauh untuk mendapatkan akses ke komputer, server, atau perangkat lain dengan membuat atau mengeksploitasi pintu belakang. Menurut Indeks X-Force Threat Intelligence, menanam pintu belakang adalah tujuan paling umum bagi para peretas, yang mencakup 21% serangan.

Backdoor memungkinkan penjahat siber untuk melakukan banyak hal. Mereka dapat mencuri data atau kredensi, mengendalikan perangkat, atau menginstal malware yang lebih berbahaya seperti ransomware. Beberapa peretas menggunakan malware akses jarak jauh untuk membuat backdoor yang dapat mereka jual ke peretas lain, yang masing-masing dapat memperoleh beberapa ribu dolar AS.

Beberapa malware akses jarak jauh, seperti Back Orifice atau CrossRAT, sengaja dibuat untuk tujuan jahat. Peretas juga dapat memodifikasi atau menyalahgunakan perangkat lunak yang sah untuk mengakses perangkat dari jarak jauh. Secara khusus, penjahat siber menggunakan kredensial yang dicuri untuk protokol desktop jarak jauh Microsoft (RDP) sebagai pintu belakang.

Botnet adalah jaringan perangkat yang terhubung ke internet dan terinfeksi malware di bawah kendali peretas. Botnet dapat mencakup PC, perangkat seluler, perangkat Internet of Things (IoT), dan banyak lagi. Korban sering tidak menyadari ketika perangkat mereka adalah bagian dari botnet. Peretas sering menggunakan botnet untuk meluncurkan serangan DDoS, yang membombardir jaringan target dengan begitu banyak lalu lintas sehingga melambat hingga merangkak atau mati sepenuhnya.

Mirai, salah satu botnet paling terkenal, bertanggung jawab atas serangan besar-besaran pada tahun 2016 terhadap penyedia Sistem Nama Domain Dyn. Serangan ini merobohkan situs web populer seperti Twitter dan Reddit untuk jutaan pengguna di AS dan Eropa.

Cryptojacker adalah malware yang mengendalikan perangkat dan menggunakannya untuk menambang cryptocurrency, seperti bitcoin, tanpa sepengetahuan pemiliknya. Pada dasarnya, cryptojacker membuat botnet cryptomining.

Menambang cryptocurrency adalah tugas yang sangat intensif komputasi dan mahal. Penjahat siber mendapatkan keuntungan sementara pengguna komputer yang terinfeksi mengalami perlambatan kinerja dan kerusakan. Cryptojacker sering menargetkan infrastruktur cloud perusahaan, memungkinkan mereka untuk mengumpulkan lebih banyak sumber daya untuk cryptomining daripada menargetkan komputer individu.

Malware tanpa file adalah jenis serangan yang menggunakan kerentanan pada program perangkat lunak yang sah seperti peramban web dan pengolah kata untuk menyuntikkan kode berbahaya secara langsung ke dalam memori komputer. Karena kode berjalan di memori, kode tidak meninggalkan jejak pada hard drive. Karena menggunakan perangkat lunak yang sah, ini sering menghindari deteksi.

Banyak serangan malware tanpa file menggunakan PowerShell, sebuah antarmuka baris perintah dan alat skrip yang ada di dalam sistem operasi Microsoft Windows. Peretas dapat menjalankan skrip PowerShell untuk mengubah konfigurasi, mencuri kata sandi, atau menyebabkan kerusakan lainnya.

Makro berbahaya adalah vektor umum lainnya untuk serangan tanpa file. Aplikasi seperti Microsoft Word dan Excel memungkinkan pengguna untuk menentukan makro, serangkaian perintah yang mengotomatiskan tugas-tugas sederhana seperti memformat teks atau melakukan perhitungan. Peretas dapat menyimpan skrip berbahaya di dalam makro ini; ketika pengguna membuka file, skrip tersebut secara otomatis dijalankan.

Worm adalah program jahat yang mereplikasi diri sendiri yang dapat menyebar di antara aplikasi dan perangkat tanpa interaksi manusia. (Bandingkan dengan virus, yang hanya dapat menyebar jika pengguna menjalankan program yang disusupi). Sementara beberapa cacing tidak lebih dari sekadar menyebar, banyak cacing yang memiliki konsekuensi yang lebih parah. Sebagai contoh, ransomware WannaCry, yang menyebabkan kerugian sekitar USD 4 miliar, merupakan sebuah worm yang memaksimalkan dampaknya dengan secara otomatis menyebar di antara perangkat-perangkat yang terhubung.

Trojan horse menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya. Trojan akses jarak jauh atau "RAT" menciptakan pintu belakang rahasia pada perangkat yang terinfeksi. Jenis Trojan lain yang disebut "dropper" memasang malware tambahan setelah mendapat tempat. Ryuk, salah satu jenis ransomware terbaru yang paling mematikan, menggunakan Trojan Emotet untuk menginfeksi perangkat.

Rootkit adalah paket malware yang memungkinkan peretas mendapatkan akses istimewa tingkat administrator ke sistem operasi komputer atau aset lainnya. Peretas kemudian dapat menggunakan izin yang lebih tinggi ini untuk melakukan apa saja yang mereka inginkan, seperti menambah dan menghapus pengguna atau mengkonfigurasi ulang aplikasi. Peretas sering kali menggunakan rootkit untuk menyembunyikan proses berbahaya atau menonaktifkan perangkat lunak keamanan yang mungkin menangkapnya.

Scareware menakut-nakuti pengguna untuk mengunduh malware atau memberikan informasi sensitif kepada penipu. Scareware sering muncul sebagai pop-up tiba-tiba dengan pesan mendesak, biasanya memperingatkan pengguna bahwa mereka telah melanggar hukum atau perangkat mereka memiliki virus. Pop-up mengarahkan pengguna untuk membayar denda "" atau mengunduh perangkat lunak keamanan palsu yang ternyata adalah malware yang sebenarnya.

Spyware bersembunyi di komputer yang terinfeksi, diam-diam mengumpulkan informasi sensitif dan mengirimkannya kembali ke penyerang. Salah satu jenis spyware yang umum, yang disebut keylogger, merekam semua penekanan tombol pengguna, yang memungkinkan peretas memanen nama pengguna, kata sandi, nomor rekening bank dan kartu kredit, nomor Jaminan Sosial, dan data sensitif lainnya.

Adware mengirim spam ke perangkat dengan iklan pop-up yang tidak diinginkan. Adware sering kali disertakan dengan perangkat lunak gratis, tanpa sepengetahuan pengguna. Ketika pengguna menginstal program, tanpa disadari mereka juga menginstal adware. Sebagian besar adware tidak lebih dari sekadar gangguan. Namun, beberapa adware memanen data pribadi, mengarahkan browser ke situs web berbahaya, atau bahkan mengunduh lebih banyak malware ke perangkat pengguna jika mereka mengeklik salah satu pop-up.

Serangan malware memiliki dua komponen: muatan malware dan vektor serangan. Payload adalah kode berbahaya yang ingin ditanam oleh hacker, dan vektor serangan adalah metode yang digunakan untuk mengirimkan payload ke targetnya.

Beberapa vektor malware yang paling umum meliputi:

Beberapa infeksi malware, seperti ransomware, mengumumkan dirinya sendiri. Namun, sebagian besar mencoba untuk tetap tidak terlihat sembari mereka membawa kerusakan. Namun, infeksi malware sering kali meninggalkan tanda-tanda yang dapat digunakan oleh tim keamanan siber untuk mengidentifikasinya. Tanda-tanda ini meliputi:

Penurunan kinerja: Program malware menggunakan sumber daya komputer yang terinfeksi untuk berjalan, seringkali memakan ruang penyimpanan dan mengganggu proses yang sah. Tim dukungan TI mungkin melihat masuknya tiket dari pengguna yang perangkatnya melambat, mogok, atau dibanjiri pop-up.

Aktivitas jaringan baru dan tak terduga: Staf TI dan keamanan mungkin memperhatikan pola aneh, seperti proses yang menggunakan bandwidth lebih dari biasanya, perangkat yang berkomunikasi dengan server yang tidak dikenal, atau akun pengguna yang mengakses aset yang biasanya tidak mereka gunakan.

Mengubah konfigurasi: Beberapa jenis malware mengubah konfigurasi perangkat atau menonaktifkan solusi keamanan untuk menghindari deteksi. Tim TI dan keamanan mungkin menyadari bahwa, misalnya, aturan firewall telah berubah atau hak istimewa sebuah akun telah dinaikkan.

Peringatan peristiwa keamanan: Untuk organisasi dengan solusi deteksi ancaman, tanda pertama infeksi malware kemungkinan adalah peringatan peristiwa keamanan. Solusi seperti sistem deteksi intrusi (IDS), platforminformasi keamanan dan manajemen peristiwa (SIEM) dan perangkat lunak antivirus dapat menandai aktivitas malware potensial untuk ulasan oleh tim respons insiden.

Serangan malware tidak dapat dihindari, tetapi ada beberapa langkah yang dapat diambil oleh organisasi untuk memperkuat pertahanannya. Langkah-langkah ini meliputi:

Pelatihan kesadaran keamanan: Banyak infeksi malware diakibatkan oleh pengguna yang mengunduh perangkat lunak palsu atau terjebak dalam penipuan phishing. Pelatihan kesadaran keamanan dapat membantu pengguna mengenali serangan rekayasa sosial, situs web berbahaya, dan aplikasi palsu. Pelatihan kesadaran keamanan juga dapat mengedukasi pengguna tentang apa yang harus dilakukan dan siapa yang harus dihubungi jika mereka mencurigai adanya ancaman malware.

Kebijakan keamanan: Membutuhkan kata sandi yang kuat, autentikasi multi-faktor, dan VPN ketika mengakses aset sensitif melalui wifi yang tidak aman dapat membantu membatasi akses peretas ke akun pengguna. Menerapkan jadwal rutin untuk manajemen patch, penilaian kerentanan, dan pengujian penetrasi juga dapat membantu menangkap kerentanan perangkat lunak dan perangkat sebelum penjahat siber mengeksploitasinya. Kebijakan untuk mengelola perangkat BYOD (bawa perangkat sendiri) dan mencegah TI bayangan dapat membantu mencegah pengguna tanpa sadar membawa malware ke dalam jaringan perusahaan.

Cadangan: Menyimpan cadangan data sensitif dan gambar sistem yang diperbarui, idealnya pada hard drive atau perangkat lain yang dapat diputuskan dari jaringan, dapat mempermudah pemulihan dari serangan malware.

Arsitektur jaringan zero trust: Zero trust adalah pendekatan terhadap keamanan jaringan di mana pengguna tidak pernah dipercaya dan selalu diverifikasi. Secara khusus, zero trust menerapkan prinsip hak istimewa terkecil, mikrosegmentasi jaringan dan autentikasi adaptif berkelanjutan. Penerapan ini membantu memastikan bahwa tidak ada pengguna atau perangkat yang dapat mengakses data sensitif atau aset yang tidak seharusnya. Jika malware masuk ke jaringan, kontrol ini dapat membatasi gerakan lateral.

Rencana respons insiden: Membuat rencana respons insiden untuk berbagai jenis malware sebelumnya dapat membantu tim keamanan siber memberantas infeksi malware dengan lebih cepat.

Selain taktik manual yang diuraikan di atas, tim keamanan siber dapat menggunakan solusi keamanan untuk mengotomatiskan aspek-aspek penghapusan, deteksi, dan pencegahan malware. Alat bantu yang umum digunakan antara lain:

Perangkat lunak antivirus: Juga disebut perangkat lunak "anti-malware", program antivirus memindai sistem untuk mencari tanda-tanda infeksi. Selain memperingatkan pengguna, banyak program antivirus dapat secara otomatis mengisolasi dan menghapus malware setelah terdeteksi.

Firewall: Firewall dapat memblokir beberapa lalu lintas berbahaya agar tidak mencapai jaringan. Jika malware berhasil masuk ke perangkat jaringan, firewall dapat membantu menggagalkan komunikasi keluar ke peretas, seperti keylogger yang mengirim penekanan tombol kembali ke penyerang.

Platform manajemen informasi dan peristiwa keamanan (SIEM): SIEM mengumpulkan informasi dari alat keamanan internal, menggabungkannya dalam log pusat dan menandai anomali. Karena SIEM memusatkan peringatan dari berbagai sumber, maka SIEM dapat mempermudah pengenalan tanda-tanda halus malware.

Platform orkestrasi, otomatisasi, dan respons keamanan (SOAR): SOAR mengintegrasikan dan mengoordinasikan berbagai alat keamanan, yang memungkinkan tim keamanan membuat buku petunjuk semi-atau sepenuhnya otomatis untuk merespons malware secara real-time.

Platform deteksi dan respons titik akhir (EDR): EDR memantau perangkat titik akhir, seperti telepon pintar, laptop, dan server, untuk mencari tanda-tanda aktivitas mencurigakan, dan mereka dapat secara otomatis merespons malware yang terdeteksi.

Platform deteksi dan respons yang diperluas (XDR): XDR mengintegrasikan alat dan operasi keamanan di seluruh lapisan keamanan, pengguna, titik akhir, email, aplikasi, jaringan, beban kerja cloud, dan data. XDR dapat membantu mengotomatiskan proses pencegahan, deteksi, investigasi, dan respons malware yang kompleks, termasuk perburuan ancaman proaktif.

Alat manajemen permukaan serangan (ASM): Alat ASM terus-menerus menemukan, menganalisis, memperbaiki, dan memantau semua aset dalam jaringan organisasi. ASM dapat berguna dalam membantu tim keamanan siber menangkap aplikasi dan perangkat TI bayangan yang tidak sah yang mungkin membawa malware.

Manajemen titik akhir terpadu (UEM): Perangkat lunak UEM memantau, mengelola, dan mengamankan semua perangkat pengguna akhir organisasi, termasuk desktop, laptop, dan perangkat mobile. Banyak organisasi menggunakan solusi UEM untuk membantu memastikan perangkat BYOD karyawan tidak membawa malware ke dalam jaringan perusahaan.