Apa itu ransomware?

Serangan ransomware paling awal hanya menuntut uang tebusan dengan imbalan kunci enkripsi yang diperlukan untuk mendapatkan kembali akses ke data yang terpengaruh atau penggunaan perangkat yang terinfeksi. Dengan membuat cadangan data secara teratur atau berkelanjutan, organisasi dapat membatasi biaya dari jenis serangan ransomware ini dan sering menghindari membayar permintaan tebusan.

Dalam beberapa tahun terakhir, serangan ransomware telah berevolusi untuk memasukkan taktik pemerasan ganda dan pemerasan tiga kali lipat yang meningkatkan taruhannya secara signifikan. Bahkan korban yang menjaga cadangan data secara ketat atau membayar permintaan tebusan awal berisiko.

Serangan pemerasan ganda menambah ancaman pencurian data korban dan membocorkannya secara online. Serangan pemerasan rangkap tiga menambah ancaman penggunaan data yang dicuri untuk menyerang pelanggan atau mitra bisnis korban.

Ransomware adalah salah satu bentuk perangkat lunak berbahaya yang paling umum, dan serangan ransomware dapat merugikan organisasi yang terkena dampaknya hingga jutaan dolar.

20% dari seluruh serangan siber yang dicatat oleh IBM® X-Force® Threat Intelligence Index pada tahun 2023 melibatkan ransomware. Dan serangan ini bergerak cepat. Ketika peretas mendapatkan akses ke jaringan, dibutuhkan waktu kurang dari empat hari untuk menyebarkan ransomware. Kecepatan ini memberi organisasi sedikit waktu untuk mendeteksi dan menggagalkan potensi serangan.

Korban dan negosiator ransomware enggan mengungkapkan pembayaran tebusan, tetapi aktor ancaman sering kali menuntut angka dalam jumlah tujuh digit dan delapan digit. Dan pembayaran tebusan hanyalah sebagian dari total biaya infeksi ransomware. Menurut laporan IBM Biaya Pelanggaran Data, biaya rata-rata pelanggaran ransomware adalah 5,68 juta USD, yang tidak termasuk pembayaran tebusan.

Akan tetapi, tim keamanan siber menjadi lebih mahir dalam memerangi ransomware. X-Force Threat Intelligence Index menemukan bahwa infeksi ransomware menurun 11,5% antara tahun 2022 dan 2023, kemungkinan besar disebabkan oleh peningkatan deteksi dan pencegahan ancaman.

Ada dua jenis umum ransomware. Jenis yang paling umum, yang disebut ransomware enkripsi atau ransomware kripto, menyandera data korban dengan mengenkripsinya. Penyerang kemudian meminta uang tebusan sebagai imbalan untuk memberikan kunci enkripsi yang diperlukan untuk mendekripsi data.

Bentuk ransomware yang kurang umum, yang disebut ransomware non-pengenkripsi atau ransomware pengunci layar, mengunci seluruh perangkat korban, biasanya dengan memblokir akses ke sistem operasi. Alih-alih memulai seperti biasa, perangkat menampilkan layar yang menampilkan permintaan tebusan.

Kedua tipe umum ini termasuk dalam subkategori ini:

Leakware/Doxware adalah ransomware yang mencuri, atau menyusup, data sensitif dan mengancam untuk mempublikasikannya. Sementara bentuk sebelumnya dari leakware atau doxware sering mencuri data tanpa mengenkripsinya, varian saat ini biasanya melakukan keduanya.

Ransomware seluler mencakup semua ransomware yang memengaruhi perangkat seluler. Disampaikan melalui aplikasi berbahaya atau unduhan drive-by, sebagian besar ransomware seluler adalah ransomware yang tidak mengenkripsi. Peretas lebih memilih pengunci layar untuk serangan seluler karena pencadangan data cloud otomatis, yang merupakan standar pada banyak perangkat seluler, memudahkan untuk membalikkan serangan enkripsi.

Wiper, atau ransomware destruktif, mengancam untuk menghancurkan data jika korban tidak membayar uang tebusan. Dalam beberapa kasus, ransomware menghancurkan data bahkan jika korban membayar. Jenis wiper terakhir sering diterapkan oleh aktor negara atau hacktivist, bukan penjahat siber umum.

Scareware adalah seperti apa kedengarannya—ransomware yang mencoba menakut-nakuti pengguna agar membayar uang tebusan. Scareware mungkin muncul sebagai pesan dari lembaga penegak hukum, yang menuduh korban melakukan kejahatan dan menuntut denda. Atau, mungkin memalsukan peringatan infeksi virus yang sah sehingga mendorong korban untuk membeli ransomware yang menyamar sebagai perangkat lunak antivirus.

Terkadang, scareware adalah ransomware yang mengenkripsi data atau mengunci perangkat. Dalam kasus lain, ini adalah vektor ransomware, yang mengenkripsi apa pun selain memaksa korban untuk mengunduh ransomware.

Serangan ransomware dapat menggunakan beberapa metode, atau vektor, untuk menginfeksi sebuah jaringan atau perangkat. Beberapa vektor infeksi ransomware yang paling menonjol termasuk:

Serangan rekayasa sosial mengelabui korban agar mengunduh dan menjalankan file yang dapat dieksekusi yang ternyata adalah ransomware. Misalnya, email phishing mungkin berisi lampiran berbahaya yang disamarkan sebagai .pdf yang tampak tidak berbahaya, dokumen Microsoft Word, atau file lain.

Serangan rekayasa sosial juga dapat memikat pengguna untuk mengunjungi situs web berbahaya atau memindai kode QR berbahaya yang meneruskan ransomware melalui browser web pengguna.

Penjahat siber sering kali mengeksploitasi kerentanan yang ada untuk memasukkan kode berbahaya ke dalam perangkat atau jaringan.

Kerentanan zero-day, yang merupakan kerentanan yang tidak diketahui oleh komunitas keamanan atau teridentifikasi tetapi belum ditambal, menimbulkan ancaman tertentu. Beberapa geng ransomware membeli informasi tentang kelemahan zero-day dari peretas lain untuk merencanakan serangan mereka. Peretas juga secara efektif menggunakan kerentanan yang telah ditambal sebagai vektor serangan, seperti yang terjadi pada serangan WannaCry tahun 2017.

Penjahat siber dapat mencuri kredensial pengguna yang berwenang, membelinya di dark web, atau memecahkannya melalui serangan brute-force. Mereka kemudian menggunakan kredensial ini untuk masuk ke jaringan atau komputer dan menerapkan ransomware secara langsung.

Remote desktop protocol (RDP), protokol Microsoft eksklusif yang memungkinkan pengguna mengakses komputer dari jarak jauh, adalah target pencurian kredensial yang populer di kalangan penyerang ransomware.

Peretas sering kali menggunakan malware yang dikembangkan untuk serangan lain untuk mengirimkan ransomware ke sebuah perangkat. Aktor ancaman menggunakan Trojan Trickbot, yang awalnya dirancang untuk mencuri kredensial perbankan, untuk menyebarkan varian ransomware Conti sepanjang tahun 2021.

Peretas dapat menggunakan situs web untuk menyebarkan ransomware ke perangkat tanpa sepengetahuan pengguna. Kit eksploitasi menggunakan situs web yang disusupi untuk memindai browser pengunjung untuk mencari kerentanan aplikasi web yang dapat digunakan untuk menyuntikkan ransomware ke dalam perangkat.

Malvertising, iklan digital sah yang telah disusupi peretas, juga dapat meneruskan ransomware ke perangkat, bahkan jika pengguna tidak mengklik iklan tersebut.

Penjahat siber tidak perlu mengembangkan ransomware mereka sendiri untuk mengeksploitasi vektor ini. Beberapa pengembang ransomware berbagi kode malware mereka dengan penjahat siber melalui pengaturan ransomware as a service (RaaS).

Penjahat siber, atau “afiliasi”, menggunakan kode tersebut untuk melakukan serangan dan membagi pembayaran tebusan dengan pengembang. Ini adalah hubungan yang saling menguntungkan. Afiliasi bisa mendapatkan keuntungan dari pemerasan tanpa harus mengembangkan malware mereka sendiri, dan pengembang bisa meningkatkan keuntungan mereka tanpa meluncurkan lebih banyak serangan siber.

Distributor ransomware dapat menjual ransomware melalui pasar digital di dark web. Mereka juga dapat merekrut afiliasi secara langsung melalui forum online atau cara serupa. Kelompok ransomware besar telah menginvestasikan sejumlah besar uang dalam upaya perekrutan untuk menarik afiliasi.

Serangan ransomware biasanya berlangsung melalui tahap-tahap ini.

Hingga saat ini, para peneliti keamanan siber telah mengidentifikasi ribuan varian atau rangkaian ransomware yang berbeda. Berbagai jenis yang unik dengan kode khas dan fungsinya masing-masing.

Beberapa jenis ransomware sangat terkenal karena tingkat kehancurannya, caranya memengaruhi perkembangan ransomware, atau ancaman yang mereka timbulkan saat ini.

Pertama kali muncul pada bulan September 2013, CryptoLocker secara luas dikreditkan dengan memulai era modern ransomware.

Menyebar melalui botnet (jaringan komputer yang dibajak), CryptoLocker adalah salah satu rangkaian ransomware pertama yang mengenkripsi file pengguna dengan kuat. Ini memeras sekitar USD 3 juta sebelum upaya penegakan hukum internasional menutupnya pada tahun 2014.

Keberhasilan CryptoLocker melahirkan banyak peniru dan membuka jalan bagi varian seperti WannaCry, Ryuk, dan Petya.

Cryptoworm—ransomware profil tinggi pertama yang dapat menyebarkan dirinya sendiri ke perangkat lain dalam jaringan—WannaCry menyerang lebih dari 200.000 komputer di 150 negara. Komputer yang terkena dampaknya rentan karena administrator telah lalai menambal kerentanan Microsoft Windows EternalBlue.

Selain mengenkripsi data sensitif, ransomware WannaCry mengancam akan menghapus file jika korban tidak mengirimkan pembayaran dalam waktu tujuh hari. Ini tetap menjadi salah satu serangan ransomware terbesar hingga saat ini, dengan perkiraan biaya mencapai 4 miliar USD.

Tidak seperti ransomware kripto lainnya, Petya mengenkripsi tabel sistem file dan bukan file individual, sehingga komputer yang ter infeksi tidak dapat mem-boot Windows.

Versi yang dimodifikasi tinggi, NotPetya, digunakan untuk melakukan serangan siber berskala besar, terutama terhadap Ukraina, pada tahun 2017. NotPetya adalah penghapus yang tidak mampu membuka kunci sistem bahkan setelah korban membayar.

Pertama kali terlihat pada tahun 2018, Ryuk mempopulerkan serangan 'ransomware kelas kakap' terhadap target bernilai tinggi tertentu, dengan permintaan tebusan rata-rata lebih dari 1 juta USD. Ryuk dapat menemukan dan menonaktifkan file cadangan dan fitur pemulihan sistem. Strain baru dengan kemampuan cryptoworm muncul pada tahun 2021.

Dijalankan oleh kelompok yang diduga beroperasi dari Rusia, DarkSide adalah varian ransomware yang menyerang Colonial Pipeline pada 7 Mei 2021. Dalam apa yang dianggap sebagai serangan siber terburuk terhadap infrastruktur penting AS hingga saat ini, DarkSide untuk sementara waktu menutup pipa yang memasok 45% bahan bakar Pantai Timur.

Selain melakukan serangan langsung, kelompok DarkSide juga melisensikan ransomware kepada afiliasinya melalui pengaturan RaaS.

Locky adalah ransomware yang mengenkripsi dengan metode infeksi yang berbeda—solusi ini menggunakan makro yang tersembunyi di lampiran email (file Microsoft Word) yang menyamar sebagai faktur yang sah. Ketika pengguna mengunduh dan membuka dokumen Microsoft Word, makro berbahaya secara diam-diam mengunduh muatan ransomware ke perangkat pengguna.

REvil, juga dikenal sebagai Sodin atau Sodinokibi, membantu mempopulerkan pendekatan RaaS untuk distribusi ransomware.

Dikenal untuk digunakan dalam perburuan hewan besar dan serangan pemerasan ganda, REvil berada di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited. JBS membayar uang tebusan sebesar USD 11 juta setelah para peretas mengganggu seluruh operasi pemrosesan daging sapi AS. Waktu henti yang signifikan berdampak pada lebih dari 1.000 pelanggan perangkat lunak Kaseya.

Dinas Keamanan Federal Rusia melaporkan bahwa mereka telah membubarkan REvil dan mendakwa beberapa anggotanya pada awal tahun 2022.

Pertama kali diamati pada tahun 2020, geng Conti mengoperasikan skema RaaS yang ekstensif di mana mereka membayar upah tetap kepada peretas untuk menggunakan ransomware-nya. Conti menggunakan bentuk pemerasan ganda yang unik di mana geng mengancam akan menjual akses ke jaringan korban kepada peretas lain jika korban tidak membayar.

Conti dibubarkan setelah log obrolan internal geng bocor pada tahun 2022, tetapi banyak mantan anggotanya yang masih aktif di dunia kejahatan siber. Sesuai dengan X-Force Threat Intelligence Index, seseorang yang pernah menjadi rekanan Conti telah dikaitkan dengan beberapa varian ransomware yang paling luas saat ini, yaitu BlackBasta, Royal, dan Zeon.

Salah satu varian ransomware paling umum pada tahun 2023 menurut X-Force Threat Intelligence Index, LockBit terkenal dengan sikap bisnis para pengembangnya. Grup LockBit dikenal memperoleh jenis malware lain seperti bagaimana perusahaan sah memperoleh perusahaan lain.

Meskipun penegak hukum menyita beberapa situs web LockBit pada bulan Februari 2024 dan pemerintah AS menjatuhkan sanksi kepada salah satu pemimpin senior geng tersebut, LockBit terus menyerang para korban. 

Tuntutan tebusan sangat bervariasi, dan banyak korban yang memilih untuk tidak mempublikasikan berapa jumlah yang mereka bayarkan, sehingga sulit untuk menentukan jumlah pembayaran tebusan rata-rata. Sebagian besar perkiraan menempatkannya dalam kisaran enam angka tinggi hingga tujuh angka rendah. Penyerang menuntut pembayaran tebusan mencapai setinggi 80 juta USD menurut IBM Definitive Guide to Ransomware.

Paling pentingnya, proporsi korban yang membayar tebusan sama sekali telah turun tajam dalam beberapa tahun terakhir. Menurut perusahaan penanggulangan insiden pemerasan siber, Coveware, hanya 37% korban yang membayar uang tebusan pada tahun 2023, dibandingkan dengan 70% pada tahun 2020.¹

Para pakar menunjukkan kesiapan yang lebih baik terhadap kejahatan siber, termasuk peningkatan investasi dalam pencadangan data, rencana respons insiden, serta teknologi pencegahan dan deteksi ancaman, sebagai pendorong potensial di balik pembalikan ini.

Badan penegak hukum federal AS dengan suara bulat mencegah para korban ransomware untuk membayar tuntutan tebusan. Menurut National Cyber Investigative Joint Task Force (NCIJTF), sebuah koalisi yang terdiri atas 20 agen federal AS yang bermitra yang bertugas menyelidiki ancaman siber:

“FBI tidak mendorong membayar uang tebusan kepada aktor kriminal. Membayar uang tebusan dapat mendorong pihak lawan untuk menargetkan organisasi lain, mendorong pelaku kriminal lain untuk terlibat dalam distribusi ransomware, dan/atau mendanai aktivitas terlarang. Membayar uang tebusan juga tidak menjamin bahwa file korban akan dipulihkan.”

Lembaga penegak hukum menyarankan agar korban ransomware melaporkan serangan kepada pihak berwenang yang tepat, seperti Pusat Pengaduan Kejahatan Internet FBI (IC3), sebelum membayar uang tebusan.

Beberapa korban serangan ransomware memiliki kewajiban hukum untuk melaporkan infeksi ransomware terlepas dari apakah mereka membayar uang tebusan atau tidak. Sebagai contoh, kepatuhan HIPAA umumnya mengharuskan entitas perawatan kesehatan untuk melaporkan pelanggaran data apa pun, termasuk serangan ransomware, kepada Departemen Kesehatan dan Layanan Kemanusiaan.

Dalam kondisi tertentu, membayar uang tebusan bisa jadi ilegal.

Kantor Pengawasan Aset Luar Negeri AS (OFAC) menyatakan bahwa membayar uang tebusan kepada penyerang dari negara-negara yang terkena sanksi ekonomi AS, seperti Korea Utara atau Iran, melanggar peraturan OFAC. Pelanggar dapat menghadapi hukuman perdata, denda atau tuntutan pidana.

Beberapa negara bagian AS, seperti Florida dan North Carolina, telah melarang instansi pemerintah negara bagian untuk membayar uang tebusan.

Pakar keamanan siber dan badan-badan federal seperti Badan Keamanan Siber dan Infrastruktur (CISA) dan Dinas Rahasia AS merekomendasikan agar organisasi-organisasi mengambil tindakan pencegahan untuk mempertahankan diri dari ancaman ransomware. Langkah-langkah ini dapat mencakup:

• Mempertahankan cadangan data sensitif dan gambar sistem, idealnya pada hard drive atau perangkat lain yang dapat diputuskan oleh tim IT jika terjadi serangan ransomware.
  
  
• Menerapkan patch secara teratur untuk membantu menggagalkan serangan ransomware yang mengeksploitasi kerentanan perangkat lunak dan sistem operasi.
  
  
• Alat bantu keamanan siber seperti perangkat lunak antimalware, alat bantu pemantauan jaringan, platform deteksi dan respons titik akhir (EDR), serta sistem informasi keamanan dan manajemen peristiwa (SIEM) dapat membantu tim keamanan mencegat ransomware secara real-time.
  
  
• Pelatihan keamanan siber bagi karyawan untuk membantu pengguna mengenali dan menghindari phishing, rekayasa sosial, dan taktik lain yang dapat menyebabkan infeksi ransomware .
  
  
• Menerapkan kebijakan kontrol akses termasuk autentikasi multifaktor, segmentasi jaringan, dan tindakan serupa dapat mencegah ransomware mencapai data sensitif. Kontrol manajemen identitas dan akses (IAM) juga dapat mencegah cryptoworm menyebar ke perangkat lain di jaringan.
  
  
• Rencana respons insiden formal memungkinkan tim keamanan untuk mencegat dan memulihkan pelanggaran dalam waktu yang lebih singkat. Laporan Biaya Pelanggaran Data menemukan bahwa organisasi dengan rencana formal dan tim respons insiden khusus mengidentifikasi pelanggaran 54 hari lebih cepat daripada organisasi yang tidak memiliki keduanya. Waktu deteksi yang lebih cepat ini menurunkan biaya remediasi, menghemat rata-rata hampir USD 1 juta bagi organisasi.

Meskipun alat dekripsi untuk beberapa varian ransomware tersedia untuk umum melalui proyek-proyek seperti No More Ransom², remediasi infeksi ransomware aktif sering kali membutuhkan pendekatan yang beragam.

Lihat IBM Security Definitive Guide to Ransomware untuk contoh rencana respons insiden ransomware yang dimodelkan setelah siklus hidup respons insiden Institut Standar dan Teknologi Nasional (NIST). 

1989: Ransomware pertama yang didokumentasikan, yang dikenal sebagai “AIDS Trojan” atau “P.C. Serangan Cyborg”, didistribusikan melalui floppy disk. Mereka menyembunyikan direktori file di komputer korban dan menuntut 189 USD untuk menampilkannya. Karena malware ini bekerja dengan mengenkripsi nama file daripada file itu sendiri, maka mudah bagi pengguna untuk membalikkan kerusakan tanpa membayar uang tebusan.

1996: Ketika menganalisis Trojan AIDS, ilmuwan komputer Adam L. Young dan Moti Yung memperingatkan bentuk malware di masa depan yang dapat menggunakan kriptografi yang lebih canggih untuk menyandera data sensitif. 

2005: Setelah serangan ransomware yang relatif sedikit di awal tahun 2000-an, peningkatan infeksi dimulai, berpusat di Rusia dan Eropa Timur. Varian pertama yang menggunakan enkripsi asimetris muncul. Karena ransomware baru menawarkan cara yang lebih efektif untuk memeras uang, semakin banyak penjahat siber yang mulai menyebarkan ransomware ke seluruh dunia.

2009: Pengenalan cryptocurrency, khususnya Bitcoin, memberi penjahat siber jalan untuk menerima pembayaran tebusan yang tidak dapat dilacak, mendorong lonjakan berikutnya dalam aktivitas ransomware.

2013: Era modern ransomware dimulai dengan CryptoLocker yang meresmikan gelombang serangan ransomware berbasis enkripsi yang sangat canggih yang meminta pembayaran dalam mata uang kripto.

2015: Varian ransomware Tox memperkenalkan model ransomware-sebagai layanan (RaaS).

2017: WannaCry, cryptoworm pertama yang mereplikasi diri secara luas, muncul.

2018: Ryuk mempopulerkan perburuan ransomware besar.

2019: Serangan pemerasan ganda dan pemerasan tiga kali lipat menjadi lebih populer. Hampir setiap insiden ransomware yang ditanggapi oleh tim IBM® Security X-Force Incident Reponse sejak 2019 telah melibatkan pemerasan ganda.

2022: Pembajakan thread, di mana penjahat siber menyisipkan diri mereka ke dalam percakapan online yang sah dari target untuk menyebarkan malware, muncul sebagai vektor ransomware yang menonjol.

2023: Seiring dengan meningkatnya pertahanan terhadap ransomware, banyak geng ransomware mulai memperluas persenjataan mereka dan melengkapi ransomware mereka dengan taktik pemerasan baru. Secara khusus, geng seperti LockBit dan beberapa sisa-sisa Conti mulai menggunakan malware infostealer yang memungkinkan mereka mencuri data sensitif dan menyandera data tersebut tanpa perlu mengunci sistem korban.