Ransomware Malware

01 Sep 2023

Pengantar : 

Kejahatan didunia digital saat ini sudah tidak dapat dihindari lagi karena saking pesatnya perkembangan teknologi dan luasnya sumber informasi yang dapat diakses. Dengan semakin besarnya ruang lingkup digital pada masa sekarang ini, maka tingkat kejahatan juga dapat semakin bertambah. Dimana kejahatan sering dilakukan di dunia digital saat ini seperti pencurian, pembobolan, pemberhentian, dan menghapus sistem data secara paksa . Hal ini sangat krusial apalagi bagi perusahaan IT yang besar karena sistem data merupakan aset terbesar yang mereka miliki sehingga jika sistem mereka diretas, maka akan memberikan kerugian yang amat besar. Salah satu dari ancaman ini adalahnya ada serangan Ransomware.

Apa itu Ransomware ?

Ransomware adalah sejenis malware berbahaya untuk mengenkripsi data user pada suatu perangkat sehingga user tidak dapat mengakses maupun dibatasi akses mereka secara permanen ke suatu sistem atau mempublikasikan data yang disusupi. Tujuan dari serangan malware ini tidak lain adalah untuk meminta sejumlah uang tebusan kepada user agar akses mereka dapat dipulihkan kembali. Setelah sistem disusupi, data kemudian dienkripsi, dan akses diblokir oleh penjahat malware hingga  mereka menerima pembayaran sebagai imbalan atas janji kunci dekripsi.

Jenis Insiden Ransomware

  • Infeksi Otomatis secara Massal pada Sistem Terisolasi – Penjahat malware menggunakan otomatisasi untuk menyebarkan Ransomware ke target mereka dengan memanfaatkan jaringan luas yang mereka miliki.
  • Enterprise Malware Penjahat malware menyerang sistem jaringan dari suatu instansi kecil, menengah, bahkan organisasi besar.
  • Penyedia Ransomware-as-a-Service(RaaS) – Penjahat malware bekerja sama dengan penyedia RaaS yaitu dengan menggunakan Software-as-Service yang disediakan oleh penyedia RaaS untuk meningkatkan tingkat keberhasilan enkripsi.

Penanganan Insiden Ransomware

  • Pendeteksian dan Konfirmasi – Identifikasi awal bahwa insiden ransomware telah terjadi. Ini bisa melibatkan indikasi seperti penguncian akses ke sistem, pesan tebusan (ransom note), atau perilaku aneh pada jaringan. Tim keamanan IT harus segera melakukan verifikasi dan konfirmasi adanya serangan ransomware.
  • Isolasi dan Pemutusan Koneksi – Langkah pertama setelah konfirmasi adalah mengisolasi sistem yang terinfeksi atau terdampak. Ini bisa mencakup memutuskan koneksi jaringan dan mematikan sistem yang terinfeksi untuk mencegah penyebaran lebih lanjut.
  • Pemberitahuan: Tim keamanan IT harus segera memberitahu pihak-pihak terkait, termasuk manajemen eksekutif, tim hukum, departemen keuangan, dan lainnya. Jika ada data sensitif atau pelanggan yang terkena dampak, pemberitahuan kepada mereka mungkin juga diperlukan sesuai dengan peraturan perlindungan data yang berlaku.
  • Evaluasi Dampak: Mengukur sejauh mana kerusakan yang terjadi akibat insiden. Ini termasuk mengidentifikasi sistem yang terinfeksi, data yang terenkripsi, dan dampak operasional pada organisasi.
  • Penentuan Tindakan Selanjutnya: Berdasarkan evaluasi dampak, tim harus membuat rencana tindakan yang meliputi pemulihan data, peninjauan kebijakan keamanan, dan langkah-langkah untuk mencegah insiden serupa di masa depan.
  • Pemulihan Data: Jika memungkinkan, mengembalikan data yang terkena dampak dengan menggunakan cadangan yang aman dan terverifikasi. Pastikan bahwa data yang dipulihkan tidak terinfeksi ransomware.
  • Pembayaran (Opsional): Keputusan untuk membayar atau tidak membayar tebusan menjadi kontroversial. Beberapa organisasi memilih untuk membayar untuk mendapatkan kunci dekripsi. Namun, ini tidak menjamin bahwa data akan dikembalikan, dan ini juga dapat mendorong para penyerang untuk terus melancarkan serangan.
  • Analisis dan Investigasi: Menganalisis bagaimana serangan terjadi, bagaimana penyerang masuk, dan apa yang dapat dilakukan untuk mencegah insiden serupa di masa depan. Ini melibatkan identifikasi kerentanan yang dieksploitasi dan pembelajaran dari kejadian tersebut.
  • Pemulihan Sistem dan Monitoring: Setelah data dipulihkan dan sistem dibersihkan, pastikan untuk memulihkan operasi normal. Lakukan pemantauan ketat untuk mendeteksi potensi ancaman tambahan.
  • Pelaporan: Setelah insiden terselesaikan, organisasi mungkin harus melaporkan kejadian ini kepada otoritas yang berwenang, terutama jika melibatkan data pribadi atau pelanggan.
  • Pencegahan di Masa Depan: Berdasarkan pelajaran yang dipetik dari insiden, perkuat kebijakan keamanan, lakukan pelatihan kepada karyawan, tingkatkan perlindungan jaringan, dan selalu siap untuk menghadapi serangan serupa di masa depan.

Kemampuan perusahaan untuk berhasil mengelola serangan ransomware bergantung pada kemampuannya mengidentifikasi dan meresponsnya dengan cepat terhadap serangan malware. Semakin cepat suatu serangan dapat diidentifikasi, maka semakin cepat respon nya, sehingga mengurangi dampak jangka panjang terhadap jalannya bisnis dan efek krusial serangan penjahat malware. Proses dan prosedur yang terdefinisi dengan baik membantu bisnis menghentikan dan menghilangkan ancaman dengan lebih cepat.

Kesimpulan : 

Ransomware adalah sejenis malware berbahaya untuk mengenkripsi data user pada suatu perangkat sehingga user tidak dapat mengakses maupun dibatasi akses mereka secara permanen ke suatu sistem dengan tujuan untuk mengajukan tebusan. Dalam era digital yang terus berkembang, ancaman ransomware telah menjadi ancaman serius bagi organisasi dan individu. Ransomware adalah jenis malware yang mengenkripsi data pengguna dan memblokir aksesnya, dengan tujuan meminta tebusan untuk memulihkan akses. 

Penanganan insiden ransomware memerlukan pendekatan yang terkoordinasi dan terstruktur. Langkah-langkah meliputi pendeteksian dan konfirmasi, isolasi dan pemutusan koneksi, pemberitahuan kepada pihak terkait, evaluasi dampak, penentuan tindahkan selanjutnya, pemulihan data, analisis dan investigasi, serta penguatan kebijakan keamanan dan pelatihan karyawan. Keputusan tentang membayar tebusan menjadi kontroversial, dengan risiko bahwa pembayaran tidak selalu menjamin pemulihan data.

Kunci untuk mengatasi ancaman ransomware adalah penggunaan kebijakan keamanan yang ketat, teknologi perlindungan multilapis, pelatihan kesadaran keamanan bagi karyawan, serta pemahaman mengenai metode serangan yang digunakan oleh penjahat malware sehingga dapat memberikan respon yang cepat ketika menangani insiden malware. Dengan respons yang cepat, pengelolaan insiden yang terdefinisi baik, dan upaya pencegahan yang efektif, perusahaan dan individu dapat mengurangi risiko dan dampak dari serangan ransomware.

 

Referensi :

Blueprint For Ransomware Defense, 2023,  https://www.isaca.org/resources/white-papers/blueprint-for-ransomware-defense

theNET By CLOUDFLARE, “Ransomware attackers escalate extortion tactics,” http://www.cloudflare.com/learning/insights-ransomware-extortion/

ISACA, Ransomware Readiness Audit Program, 2022, https://store.isaca.org/s/store#/store/browse/detail/a2S4w000005uz6vEAA