Ramai di Bicarakan di Internet, Apa Itu Ransomware!?
One Cyber News - Ransomware adalah jenis malware yang mengunci dan mengenkripsi data, file, perangkat, atau sistem korban, sehingga tidak dapat diakses dan tidak dapat digunakan hingga penyerang menerima pembayaran tebusan.
Iterasi pertama ransomware hanya menggunakan enkripsi untuk mencegah korban mengakses file dan sistem mereka. Korban yang memiliki cadangan reguler dapat memulihkan data mereka, namun, meniadakan kebutuhan untuk membayar uang tebusan. Sebagai gantinya, para pelaku jahat mulai menggabungkan taktik pemerasan cyber, menggunakan ancaman tambahan untuk memeras korban agar melakukan pembayaran tebusan. Selain itu, para penyerang mulai semakin menargetkan cadangan korban untuk mencegah organisasi memulihkan data korban. "Laporan Tren Ransomware 2023" dari Veeam menemukan bahwa lebih dari 93% serangan ransomware pada tahun sebelumnya secara khusus menargetkan data cadangan.
Malware adalah istilah umum untuk semua perangkat lunak berbahaya yang memungkinkan akses tidak legal ke sistem pengguna. Ransomware adalah bagian dari malware yang meminta pembayaran untuk membuka kunci dan mendekripsi data, sehingga korban bisa mendapatkan kembali aksesnya.
Ransomware dapat merusak individu, organisasi, dan bahkan seluruh kota atau negara. Karena mereka terus berhasil, serangan yang bermotif keuangan ini menjadi semakin umum. "Laporan Investigasi Pelanggaran Data 2023" dari Verizon menemukan bahwa ransomware terlibat dalam 24% dari semua pelanggaran, dan "Keadaan Ransomware 2023" dari Sophos melaporkan bahwa 66% organisasi mengalami serangan ransomware pada tahun lalu, dengan 76% dari serangan tersebut mengakibatkan enkripsi data.
Sejarah ransomware dan serangan ransomware yang terkenal
Ransomware telah menjangkiti organisasi dan individu selama lebih dari tiga dekade, dengan kampanye ransomware pertama yang diketahui menjangkau para korbannya melalui surat siput pada tahun 1989. Ahli biologi lulusan Harvard, Joseph L. Popp, yang kini dianggap sebagai "bapak ransomware", mengirimkan disket yang terinfeksi kepada 20.000 orang yang baru saja menghadiri konferensi AIDS dari Organisasi Kesehatan Dunia.
Malware buatan Popp dikenal sebagai Trojan AIDS. Setelah dimasukkan ke dalam komputer korban, disket tersebut - yang tampaknya berisi kuesioner penelitian medis tetapi sebenarnya berisi kode berbahaya - mengenkripsi sistem dan menginstruksikan korban untuk mengirimkan $ 189 ke sebuah kotak pos di Panama. Para ahli TI segera menemukan kunci dekripsi, tetapi insiden tersebut menandai dimulainya era kejahatan siber yang baru.
Terlepas dari upaya awal Popp, ransomware tidak akan menjadi terkenal sampai tahun 2000-an, ketika penggunaan internet melonjak. Varian awal, seperti GPCode dan Archievus, akhirnya memberi jalan pada jenis yang lebih canggih. Beberapa jenis ransomware baru dan model pengiriman ransomware muncul di awal tahun 2010-an, termasuk ransomware loker, seperti WinLock di tahun 2011; RaaS, seperti Reveton di tahun 2012; dan ransomware kripto, seperti CryptoLocker di tahun 2013.
Kelahiran mata uang kripto pada tahun 2009 menandai momen penting lainnya dalam sejarah ransomware, karena ini memberikan cara yang mudah dan anonim bagi para pelaku ancaman untuk mengumpulkan pembayaran. Pada tahun 2012, Reveton menjadi salah satu kampanye ransomware pertama di mana para penyerang meminta korbannya untuk membayar tebusan dalam bentuk bitcoin.
WannaCry meningkatkan taruhannya
Pada tahun 2017, ratusan ribu komputer yang menjalankan Microsoft Windows menjadi korban varian ransomware baru, cryptoworm WannaCry yang terkenal kejam, dalam salah satu serangan ransomware terbesar sepanjang masa. Pelaku ancaman menargetkan organisasi di 150 negara, termasuk bank-bank besar, lembaga penegak hukum, organisasi perawatan kesehatan, dan perusahaan telekomunikasi. WannaCry bisa dibilang menandai dimulainya babak baru dalam ransomware, di mana serangan menjadi lebih besar, lebih menguntungkan, lebih merusak, dan lebih luas.
Sebagai sebuah worm, WannaCry mampu mereplikasi diri, bergerak secara lateral untuk secara otomatis menginfeksi perangkat lain di sebuah jaringan tanpa bantuan manusia. Malware ini menggunakan eksploitasi EternalBlue, yang awalnya dikembangkan oleh National Security Agency dan dibocorkan oleh peretas Shadow Brokers, yang memanfaatkan kerentanan dalam implementasi protokol SMB Microsoft. Meskipun Microsoft merilis pembaruan perangkat lunak yang memperbaiki kerentanan sebelum serangan, sistem yang belum ditambal terus menjadi mangsa infeksi WannaCry hingga saat ini.
Tidak lama setelah serangan WannaCry dimulai, NotPetya - sebuah varian dari ransomware Petya, yang muncul setahun sebelumnya - mulai menjadi berita utama. Seperti WannaCry, NotPetya memanfaatkan eksploitasi EternalBue. Namun, sebagai wiperware, ransomware ini menghancurkan file korban setelah mengenkripsinya - bahkan jika mereka memenuhi permintaan tebusan.
NotPetya menyebabkan kerugian sekitar $10 miliar di seluruh dunia. Salah satu target dengan profil tertinggi, perusahaan pelayaran dan logistik raksasa Denmark A.P. Moller-Maersk, kehilangan sekitar $300 juta dalam insiden tersebut. CIA telah mengaitkan serangan ransomware itu dengan agen spionase militer Rusia, dan menurut vendor keamanan siber ESET, sekitar 80% target NotPetya berada di Ukraina.
Pada tahun 2018, varian ransomware terkenal lainnya, Ryuk, menjadi salah satu yang pertama mengenkripsi drive dan sumber daya jaringan dan menonaktifkan Pemulihan Sistem Windows. Ryuk membuat korbannya hampir tidak mungkin untuk memulihkan data mereka jika mereka tidak memiliki alat pengembalian atau cadangan offline yang sudah ada, kecuali jika mereka membayar uang tebusan.
Bagaimana cara kerja ransomware?
Siklus hidup ransomware memiliki enam tahap umum: distribusi dan infeksi malware; perintah dan kontrol; penemuan dan pergerakan lateral; pencurian berbahaya dan enkripsi file; pemerasan;dan resolusi.
Tahap 1: Distribusi dan infeksi malware
Sebelum penyerang dapat meminta tebusan, mereka harus menyusup ke sistem korbannya dan menginfeksi mereka dengan malware. Vektor serangan ransomware yang paling umum adalah phishing, Remote Desktop Protocol (RDP) dan penyalahgunaan kredensial, dan kerentanan perangkat lunak yang dapat dieksploitasi:
Phishing. Ini adalah jenis rekayasa sosial yang paling populer, dan terus menjadi vektor serangan teratas untuk semua jenis malware. Penyerang membubuhi email yang terlihat sah dengan tautan dan lampiran berbahaya untuk mengelabui pengguna agar tanpa disadari menginstal malware. Serangan smishing, vishing, spear phishing, dan watering hole adalah bentuk-bentuk penipuan phishing dan rekayasa sosial yang digunakan para penyerang untuk menipu pengguna agar mau menginstal malware.
RDP dan penyalahgunaan kredensial. Ini melibatkan penggunaan brute-force atau serangan pengisian kredensial atau pembelian kredensial dari web gelap, dengan tujuan untuk masuk ke sistem sebagai pengguna yang sah, kemudian menginfeksi jaringan dengan malware. RDP, yang menjadi favorit para penyerang, adalah protokol yang memungkinkan administrator untuk mengakses server dan desktop dari mana saja dan memungkinkan pengguna untuk mengakses desktop mereka dari jarak jauh. Akan tetapi, implementasi RDP yang tidak diamankan dengan baik adalah titik masuk ransomware yang umum.
Kerentanan perangkat lunak. Ini juga sering menjadi target infeksi ransomware. Penyerang menyusup ke sistem korban dengan menyerang perangkat lunak yang belum ditambal atau kedaluwarsa. Salah satu insiden ransomware terbesar dalam sejarah, WannaCry, terkait dengan eksploitasi EternalBlue, sebuah kerentanan pada versi yang belum ditambal dari protokol Windows Server Message Block (SMB).
Tahap 2: Perintah dan kontrol
Server perintah dan kontrol (C&C) yang disiapkan dan dioperasikan oleh penyerang ransomware mengirimkan kunci enkripsi ke sistem target, memasang malware tambahan dan memfasilitasi tahap-tahap lain dari siklus hidup ransomware.
Tahap 3: Penemuan dan pergerakan lateral
Tahap dua langkah ini melibatkan penyerang yang pertama-tama mengumpulkan informasi tentang jaringan korban untuk membantu mereka lebih memahami cara melancarkan serangan yang berhasil, dan kemudian menyebarkan infeksi ke perangkat lain dan meningkatkan hak akses mereka untuk mencari data yang berharga.
Tahap 4: Pencurian berbahaya dan enkripsi file
Pada tahap ini, penyerang menyusupkan data ke server C&C untuk digunakan dalam serangan pemerasan di kemudian hari. Penyerang kemudian mengenkripsi data dan sistem menggunakan kunci yang dikirim dari server C&C.
Tahap 5: Pemerasan
Para penyerang menuntut pembayaran tebusan. Organisasi sekarang tahu bahwa mereka menjadi korban serangan ransomware.
Tahap 6: Resolusi
Organisasi korban harus mengambil tindakan untuk mengatasi dan memulihkan diri dari serangan itu. Ini dapat melibatkan pemulihan cadangan, menerapkan rencana pemulihan ransomware, membayar uang tebusan, bernegosiasi dengan penyerang, atau membangun kembali sistem dari awal.
Tahap 7: Deskripsi
Organisasi korban yang telah membayar uang tebusan kepada penyerang, penyerang akan membuka kode deskripsi untuk membuka semua file-filenya yang terkena tersebut.
Apa saja jenis-jenis ransomware yang berbeda?
Ransomware didefinisikan dan dikategorikan berdasarkan cara pengiriman dan dampaknya. Pengiriman termasuk ransomware sebagai layanan (RaaS), pengiriman otomatis (bukan sebagai layanan) dan pengiriman yang dioperasikan oleh manusia. Dampaknya dapat berupa tidak tersedianya data, penghancuran data, penghapusan data, serta eksfiltrasi dan pemerasan data.
Istilah-istilah berikut ini menjelaskan lebih lanjut tentang berbagai jenis ransomware:
- Ransomware pengunci mengunci korban dari data atau sistem mereka sepenuhnya.
- Ransomware kripto mengenkripsi semua atau beberapa file korban, dan harus menebua dengan cara membayar dengan mata uang kripto
- Scareware menakut-nakuti korban agar percaya bahwa perangkat mereka terinfeksi ransomware, padahal sebenarnya tidak. Penyerang kemudian mengelabui korban untuk membeli perangkat lunak yang konon akan menghapus ransomware ketika ransomware sebenarnya mencuri data atau mengunduh malware tambahan.
- Extortionware, juga dikenal sebagai leakware, doxware, dan exfiltrationware, melibatkan penyerang yang mencuri data korban dan mengancam untuk mempublikasikannya atau menjualnya di dark web.
- Wipe malware melakukan hal seperti ransomware tetapi pada kenyataannya adalah bentuk malware yang merusak yang menghapus data dari sistem korban, bahkan jika mereka melakukan pembayaran tebusan.
- Ransomware pemerasan ganda, mengenkripsi data korban dan mengeksfiltrasi data untuk memeras korban agar membayar uang tebusan, kemungkinan dua kali.
- Ransomware pemerasan tiga kali, mengenkripsi data korban, mengeksfiltrasi data untuk memeras korban dan menambahkan ancaman ketiga. Sering kali, vektor ketiga ini adalah serangan DDoS atau pemerasan terhadap pelanggan, mitra, pemasok, dan pemangku kepentingan korban untuk membayar uang tebusan atau mendesak organisasi yang terinfeksi untuk membayar. Hal ini dapat mengakibatkan penyerang menerima tiga atau lebih pembayaran tebusan untuk satu serangan.
- Ransomware as a service (RaaS), sebuah model pengiriman daripada jenis ransomware, sering kali dimasukkan dalam daftar jenis-jenis ransomware. RaaS adalah model berbasis langganan di mana para pengembang ransomware menjual malware berbayar kepada operator ransomware, yang memberikan para pengembang persentase dari keuntungan serangan.
Target ransomware yang umum
Meskipun industri tertentu, seperti infrastruktur penting, pendidikan dan perawatan kesehatan, cenderung menjadi berita utama ketika mereka menjadi korban ransomware, penting untuk dicatat bahwa tidak ada organisasi - terlepas dari ukuran atau industrinya - yang kebal terhadap serangan ransomware.Laporan Sophos mencantumkan 13 target ransomware teratas berdasarkan sektor sebagai berikut:
- Pendidikan.
- Konstruksi dan properti.
- Pemerintah pusat dan federal.
- Media, hiburan dan rekreasi.
- Pemerintah lokal dan negara bagian.
- Ritel.
- Infrastruktur energi dan utilitas.
- Distribusi dan transportasi.
- Jasa keuangan.
- Layanan bisnis, profesional dan hukum.
- Kesehatan.
- Manufaktur dan produksi.
- TI, teknologi dan telekomunikasi.