Satriyo Wibowo
Penulis merupakan sekretaris Indonesia Cyber Security Forum yang aktif dalam diskusi pada komunitas multi-stakeholder digital forensik, IoT, Blockchain, smartcity, smartgrid, cyber defence, keinsinyuran, big data, AI, dan standardisasi kompetensi SDM. Saat ini menjadi staf ahli manajemen risiko di anak perusahaan BUMN, serta narasumber teknis di beberapa kementerian dan lembaga.

Ransomware Merajalela, Lagi!

Satriyo Wibowo, CNN Indonesia | Rabu, 04/12/2019 09:17 WIB
Kejahatan siber dengan ransomware meledak dalam beberapa tahun terakhir. Bukan hanya menyerang instansi, data dan kamera laptop pribadi pun bisa dikuasai. Ilustrasi Ransomware. (CNN Indonesia/Astari Kusumawardhani)
Jakarta, CNN Indonesia -- Anak muda 21 tahun yang wajahnya tertutup masker itu menunjukkan tanda-tanda bosan. Gerak tubuhnya terlihat santai. Tak terlihat penyesalan meski saat itu ia dihadapkan pada media dengan barang-barang bukti kejahatannya.

Dia juga dengan ringan menolak bekerja sama dengan polisi siber yang menangkapnya, seolah penjara merupakan hal wajar dan malah bisa meningkatkan levelnya sebagai hacker. Atau mungkin dia merasa masih punya tabungan bitcoin yang belum disita polisi sehingga merasa aman secara finansial, meski harus mendekam di bali jeruji.

Anak muda itu berinisial BBA. Pemuda asal Sleman itu ditangkap pada akhir Oktober lalu atas tuduhan kejahatan siber berlapis dengan ransomware. Korbannya adalah perusahaan tambang di Amerika Serikat.


Dari diskusi-diskusi saat mengikuti program IVLP (International Visitor Leadership Program/Program Pertukaran Profesional) 2019, saya mengetahui bahwa saat ini ransomware menjadi momok di AS, terutama bagi penyelenggara kota.

Berdasarkan data States Coop, pada tahun ini saja jumlah korbannya telah mencapai 97 kasus, mencakup kota-kota seperti Lake City, Riviera Beach, Baltimore, Cleveland, Augusta, Tallahassee, Albany, Jackson County. Kasus terbaru adalah serangan kepada 22 kota di negara bagian Texas.

Walau secara umum serangan ini melibatkan algoritma penyandian yang mengunci file dan sistem komputer, ada pula model pemerasan dengan menggunakan spyware.

Pada modus kedua, para hacker akan memata-matai korban dengan mengambil-alih kamera dan mikrofon laptop, merekam aktivitas pribadi dan mencuri kata sandi surel. Hacker-hacker ini lalu meminta tebusan agar data-data serta pantauan aktivitas pribadi yang sukses dicuri tidak disebar luas. Misalnya yang terjadi dalam contoh di bawah.

Ransomware Merajalela, Lagi! Surel ancaman memeras yang dilayangkan hacker pada teman penulis. (Dok. Pribadi)

Dengan berkembangnya uang kripto, jenis kejahatan ini seolah meledak. Berdasarkan pantauan di Twitter melalui mesin Drone Emprit Academy bekerja sama dengan UII, dideteksi bahwa serangan ini melanda dunia ke seluruh sektor, baik pribadi maupun perusahaan dan pemerintah.

Bank dan perusahaan IT juga tidak luput menjadi korbannya.

Varian Baru dengan Target Berbeda

Varian ransomware berkembang sangat cepat. Bahkan bukan tak mungkin jika tahun depan artikel ini obsolete karena varian dan model baru terus muncul.

Meski aparat penegak hukum seluruh dunia berusaha memberikan solusi dekriptor seperti yang dilakukan melalui https://www.nomoreransom.org, selalu saja ada yang belum ditemukan solusinya.

Beberapa varian terlihat fokus menyerang individu, tapi ada juga yang dikembangkan khusus untuk menyerang korporasi yang sebenarnya sudah memiliki cyber hygiene yang lebih baik.

Kasus serangan ransomware RYUK kepada Lake City dan Riviera Beach di Florida merupakan contoh kasus ransomware yang didesain sedemikian canggih, khusus untuk target dengan tebusan besar. Pemerintah kota-kota tersebut sampai membayar lebih dari US$1 juta dalam bentuk bitcoin agar sistem email, telekomunikasi, dan sistem pembayarannya dapat beroperasi kembali.

RYUK Ransom dikembangkan dari varian Hermes oleh organisasi kejahatan siber dan sampai saat ini sukses mengumpulkan lebih dari 700 bitcoin (BTC). Metode penyandiannya yang berlapis dengan kunci yang berbeda tiap file menyebabkan pembuatan dekriptor menjadi sangat sulit.

Malware ini juga berhasil mencegah pengoperasian antivirus dan fungsi pemulihan data.

Ransom jenis ini diketahui menyerang melalui spam email TrickBot dan download tools Emotet, ditargetkan kepada layanan publik atau korporasi yang tidak mempunyai anggaran, kesadaran, dan sumber daya manusia cukup di bidang keamanan siber.

Banyak korban yang akhirnya terpaksa membayar. Opsi ini lebih murah ketimbang instalasi ulang, atau memang tidak mempunyai cadangan sistem yang memadai.

Beberapa korban mengabaikan ancaman dan pada akhirnya menanggung kerugian lebih besar. Serangan ke kota Baltimore yang meminta tebusan sekitar US$100 ribu tidak dibayar, sehingga menyebabkan kerugian sampai US$18 juta.

Selain RYUK, ternyata ditemukan ransomware lain yang saat ini banyak menyerang korporasi.

DoppelPaymer dan Dridex yang merupakan varian dari BitPaymer terdeteksi oleh CrowdStrike menyerang kota Edcouch Texas, Pemex Oil Meksiko, dan Kementerian Pertanian Chili.

Shade/Troldesh terdeteksi oleh Group-IB sedang aktif menyerang Kawasan Meksiko dan Rusia serta beberapa target potensial di Inggris dan Jerman. Varian GandCrab yang dikenal sebagai REvil/Sodinokibi juga terdeteksi menyerang beberapa kota di Texas.

Semua varian tersebut dipersenjatai khusus untuk menyerang target tertentu dengan tujuan uang tebusan besar.

Serangan ransomware kepada individu biasanya menggunakan varian yang berbeda. Meskipun banyak dekriptor telah dikembangkan, sayangnya beberapa varian terbaru belum bisa diatasi.

Dideteksi melalui percakapan Twitter, ransomware keluarga STOP/DJVU sedang menjadi favorit hacker, ditemukan dengan varian seperti LETO, COOT, LOKF, MEKA, RECO, MOSK, BEROST, DERP, PEET, GROD, dan sebagainya.

Komunitas Virus Info yang aktif di Facebook mencatat sudah ada lebih dari 160 varian STOP/DJVU dan lebih kurang 20-an varian terbaru yang masih belum ditemukan dekriptornya. Solusi yang diberikan hanyalah melakukan pembersihan sistem dengan antivirus kemudian format, instal ulang, dan restore data dari backup.

Nah, bagaimana jika Anda tidak punya backup?

Penanganan dan Pencegahan

Sepertinya backup dan restore adalah satu-satunya cara yang cepat dalam menghadapi ransomware. Namun apabila Anda tidak mempunyai backup sama sekali, mungkin ini akan menjadi mimpi buruk. Apalagi, misalnya, terdapat data skripsi di dalamnya.

Beberapa situs yang telah disebutkan di atas seperti No More Ransom dan Virus Info, dapat menjadi sumber awal untuk mencari dekriptor, meskipun untuk varian terbaru mungkin harus bersabar menunggu.

Korporasi yang bergantung hidupnya pada teknologi informasi dan internet harus mulai mempersiapkan organisasinya dalam menghadapi ransomware. Fungsi penanganan insiden penting sekali dalam bagian manajemen keberlangsungan bisnis untuk meminimalisasi kerugian dan menjaga bisnis tetap berjalan, meski dalam kondisi diserang. Langkah perbaikan untuk membangun sistem yang lebih baik juga merupakan bagian penting dari incident response selain mempersiapkan langkah hukum bila diperlukan.

Bila serangan ransomware terdeteksi, segeralah berkomunikasi dengan CSIRT/CERT sektor atau langsung ke BSSN di (021) 78833610 atau email bantuan70@bssn.go.id.

Jangan sungkan untuk meminta bantuan ahli terutama untuk melakukan identifikasi kerusakan, verifikasi insiden, perhitungan kerugian, pencegahan meluasnya kerusakan, serta melakukan tindakan untuk menghapus sumber serangan, memulihkan layanan, memastikan tidak adanya efek lanjutan kepada pihak lain, dan bahkan jika sangat diperlukan, bernegosiasi dengan penyerang.

Begitu berbahayanya serangan ransomware di Amerika sampai Senat mengeluarkan DHS Cyber Hunt and Incident Response Teams Act dan memastikan CISA -badan AS yang bertanggung jawab akan keamanan siber dan infrastruktur kritis-menegakkan langkah antisipatif, preventif, dan korektif menghadapinya.

Pencadangan sistem harus dilakukan secara rutin secara online dan offline, selalu dilakukan pengecekan terhadap integritas datanya, selalu dites proses restorasinya, dan dilaksanakannya kebijakan update sistem dan patch-nya.

Perbaikan edukasi untuk meningkatkan kesadaran keamanan siber bagi pegawai juga harus dilaksanakan. Dua attack vector yang sering menjadi jalan masuk diawasi dengan ketat: spam/phising email dan download aplikasi palsu. Organisasi harus selalu memeriksa dan memperbaiki rencana respon terhadap insiden siber sebagai bagian dari manajemen keberlangsungan bisnis termasuk menjalin hubungan dengan otoritas

Ditangkapnya BBA hendaknya menjadi alarm bagi kita karena penjahat sudah dapat dengan mudah membeli tools ransomware di Dark Web dan melancarkan serangan melintasi batas negara.

Belum lagi jika mengingat begitu banyak kasus ransomware lain yang tidak terungkap. Artinya banyak aktor atau malah organisasi kejahatan yang lebih mampu mengembangkan varian ransomware, menambahkan fitur serangan baru, serta memanfaatkan infrastruktur TOR dan cryptocurrency untuk melakukan kejahatan yang lebih canggih lagi seperti yang dibahas buku Future Crime dari Marc Goodman.

Suka tidak suka, dunia digital harus menghadapi organisasi kejahatan siber profesional. Kita pun harus bersiap jika tak ingin data dan harta diambil para perampok siber.

(vws)
LEBIH BANYAK DARI KOLUMNIS