thePONSEL.com – Setiap tahun tantangan keamanan meningkat, semua bisnis dari berbagai skala menanggung beban ancaman yang sama, ancaman tersebut bernama ransomware.
Saat ini ransomware lebih pragmatis dan fleksibel dalam melancarkan serangan, untuk meningkatkan keberhasilan, mereka membangun kemitraan jaringan bawah tanah untuk mendapatkan hasil yang maksimal.
IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengingatkan soal serangan Ransomware yang makin meningkat.
“Walau secara jumlah masih kalah dengan malware lain, ancaman ransomware merupakan agresor utama dalam dunia maya, ancaman paling berbahaya dengan implikasi tak terkira. Dampak serangan ransomware dapat berbuntut pada stabilitas keamanan jangka panjang. Perusahaan atau setiap individu perlu memiliki panduan perlindungan ransomware sebagai pedoman dasar saat dalam ancaman ransomware.”
Berikut merupakan panduan singkat padat tentang ransomware yang menjelaskan jenis serangan, vektor serangan umum, metode dan alat pencegahan, dan praktik terbaik untuk pemulihan.
Ransomware
Ransomware adalah bagian dari malware yang dapat mengunci dan mengenkripsi data di komputer korban.
Pelaku kemudian memberi tahu korban bahwa eksploitasi telah terjadi dan data tidak akan dapat dibuka atau didekripsi hingga pembayaran diterima.
Untuk lebih jelasnya, malware adalah istilah umum untuk kode atau program jahat apa pun yang memberikan kontrol kepada peretas atas suatu sistem.
Ransomware sendiri merupakan malware yang memblokir akses atau mengenkripsi data pada perangkat korban yang terinfeksi dan mengharuskan korban membayar sejumlah tebusan jika ingin mendapatkan akses.
Ransomware merupakan kejahatan pemerasan dunia maya, yang kemudian terus berkembang menjadi pemerasan ganda atau double extortion.
Usai memeras untuk mendapatkan kunci dekripsi untuk membuka file yang dienkripsi/sandera, langkah berikutnya mereka memeras dengan mengancam akan membocorkan data yang sudah mereka curi.
Jenis Ransomware
Ransomware memiliki beberapa jenis yang digunakan aktor jahat untuk memeras uang tebusan. Jenis tradisional adalah kripto dan loker.
Dua jenis yang lebih baru, pemerasan ganda dan ransomware sebagai layanan Ransomware as a Service (RaaS) telah mendapatkan popularitas di kalangan pelaku kejahatan.
- Locker memblokir akses ke komputer dan penyerang memerlukan pembayaran untuk membuka kunci akses.
- Crypto mengenkripsi semua atau beberapa file di komputer dan pelaku memerlukan pembayaran sebelum menyerahkan kunci dekripsi.
- Pemerasan ganda terjadi ketika penjahat dunia maya menuntut satu pembayaran untuk mendekripsi file dan pembayaran lain untuk tidak mempublikasikannya.
- Ransomware as a Service (RaaS) terjadi ketika penjahat dunia maya dapat mengakses atau menyewa ransomware dengan biaya tertentu dan bagi hasil yang menguntungkan dengan pembuatnya.
Ransomware sering dikenal dengan nama kode strain malware, seperti AIDS Trojan, yang pertama kali muncul 30 tahun lalu.
Sejak itu, nama-nama seperti GPcode, Achievus, Trojan WinLock, Reveton dan CryptoLocker telah menjadi berita utama untuk malapetaka yang mereka sebabkan.
Dalam dekade terakhir, LockerPIN, Ransom32, WannaCry, Goldeneye dan Petya muncul. Dan baru-baru ini, geng kejahatan dunia maya menggunakan varian RaaS, REvil, dan Conti.
Vektor ransomware
Ransomware menyusup ke organisasi melalui tiga vektor umum: phising, attachment, Remote Desktop Protocol (RDP), dan penyalahgunaan kredensial serta kerentanan yang dapat dieksploitasi.
- Phising
Phising, yang menargetkan perusahaan dengan menyematkan malware di email, tetap menjadi salah satu cara paling populer bagi penjahat dunia maya untuk mengirimkan muatannya.
Email phising telah menjadi jauh lebih canggih bahkan menggunakan Bahasa Indonesia dengan baik, menarik bahkan pengguna yang paling cerdas bisa tertipu untuk mengklik tautan yang merusak.
Selain itu, phising pada aplikasi chatting juga menjadi salah satu alternatif yang digunakan untuk penyebaran.
- Attachment
File yang dikirimkan pada email, seringkali menjadi vektor tercepat dalam penyebaran malware.
Bila email tidak dilengkapi analisa malware, attachment yang berbahaya dapat dengan mudah masuk dan besar kemungkinan diklik oleh pengguna.
Pada beberapa kasus ditemui penamaan file yang menyaru, seperti namafilesaya.pdf.exe yang sesungguhnya merupakan file exe.
Umumnya, attachment yang berbahaya berupa file dengan ekstensi .rar .zip .exe .bat .scr .vbs .doc .xls.
- RDP
Penjahat dunia maya dapat menyuntikkan malware melalui RDP, yang merupakan protokol milik Microsoft untuk akses jarak jauh yang aman ke server dan desktop.
Ketika lingkungan RDP dibiarkan tidak aman, peretas mendapatkan akses melalui brute force, kredensial sah yang dibeli melalui situs kriminal, dan isian kredensial.
- Macro
Memanfaatkan fungsi Macro pada aplikasi Microsoft Office menjadi salah satu pilihan poluler.
Penyebaran email dengan attachment berekstensi office umum dilakukan dengan body email yang menyarankan pembaca agar segera membuka attachment.
- Ekploitasi Kredensial
Metode ini memanfaatkan kebocoran data yang didapat dari serangan sebelumnya.
Umumnya, pelaku penyebaran ransomware memiliki data berupa username/password yang dapat digunakan untuk akses email, address book dan memulai menyebarkan vektor menggunakan akses ini atau langsung masuk ke dalam target jika memungkinan untuk menjalankan aksinya.
Target ransomware teratas
Meskipun tampaknya tidak ada industri yang terhindar dari ransomware, beberapa lebih rentan terhadapnya daripada yang lain.
Misalnya, lembaga pendidikan sangat menderita di tangan para peretas, berikut 10 target ransomware teratas menurut industri:
• Pendidikan
• Eceran
• Layanan bisnis, profesional, dan hukum
• Pemerintah pusat (termasuk federal dan internasional)
• IT
• Manufaktur
• Infrastruktur energi dan utilitas
• Kesehatan
• Pemerintah lokal
• Jasa keuangan
Besar kecilnya perusahaan tidak selalu menjadi faktor penentu; sebaliknya, di situlah pelaku dapat mengekstrak dampak finansial maksimum.
Mengenali serangan ransowmare
Serangan Ransomware secara unik sulit dideteksi karena kode berbahaya sering disembunyikan di perangkat lunak yang sah, seperti skrip PowerShell, VBScript, Mimikatz, dan PsExec.
Perusahaan harus menggunakan kombinasi alat keamanan otomatis dan analisis malware untuk mengungkap aktivitas mencurigakan yang dapat mengakibatkan serangan ransomware.
Berikut adalah tiga jenis teknik pendeteksian ransomware:
- Ransomware berbasis signature membandingkan hash sampel yang dikumpulkan dari aktivitas mencurigakan dengan signature yang diketahui.
- Ransomware berbasis perilaku memeriksa perilaku baru dalam kaitannya dengan data historis.
- Penipuan menggunakan umpan seperti honeypot. Honeypot adalah sistem yang terhubung ke jaringan yang dibentuk sebagai umpan untuk memikat penyerang dunia maya dan mendeteksi, menangkis, dan mempelajari upaya peretasan untuk mendapatkan akses tidak sah ke sistem informasi. Fungsi honeypot adalah untuk menampilkan dirinya di internet sebagai target potensial bagi peretas; biasanya, server atau aset bernilai tinggi lainnya dan untuk mengumpulkan informasi dan memberi tahu para pakar keamanan tentang segala upaya untuk mengakses honeypot oleh pengguna yang tidak sah.
Serangan ransomware terjadi dengan cepat, dan penting untuk dapat mendeteksi dan merespon dengan cepat.
Perlindungan ransomware
Organisasi dapat mengurangi kerentanan mereka terhadap serangan ransomware dan membatasi kerusakan yang ditimbulkannya dengan mengasumsikan postur keamanan siber yang kuat. Langkah-langkah untuk mencegah serangan ransomware:
- Semua karyawan harus menjalani pelatihan rutin untuk mengetahui praktik terbaik keamanan cyber. Ini bisa sangat membantu dalam menurunkan kemungkinan mereka mengklik tautan yang berpotensi berbahaya di email mereka yang dapat dicampur dengan ransomware atau mencolokkan perangkat USB yang tidak dikenal yang dapat disusupi malware.
- Selalu perbarui sistem operasi dan perangkat lunak yang digunakan ke versi terbaru, kapan pun ada patch dirilis.
- Selalu merencanakan yang terburuk dan berharap yang terbaik, jadi siapkan rencana kelangsungan bisnis jika terjadi bencana. Ini harus mencakup cadangan data dan bahkan mungkin infrastruktur cadangan yang dapat digunakan saat mencoba memulihkan sistem yang terkunci.
- Backup sangat penting untuk semua orang, baik itu individu atau perusahaan besar. Cadangkan data penting bisnis secara teratur dan uji cadangan tersebut sesering mungkin untuk melihat apakah mereka berfungsi dengan benar, sehingga tidak membuat terikat jika terkena serangan. Setidaknya data yang paling berharga juga harus disimpan secara offline.
- Kurangi kemungkinan serangan dengan menonaktifkan atau menghapus instalasi perangkat lunak atau layanan yang tidak perlu. Khususnya, karena layanan akses jarak jauh sering menjadi vektor utama untuk banyak serangan ransomware. Disarankan untuk menonaktifkan RDP yang menghadap internet sepenuhnya atau setidaknya membatasi jumlah orang yang diizinkan mengakses server perusahaan dari jarak jauh melalui internet.
- Jangan pernah meremehkan nilai dari solusi keamanan berlapis yang bereputasi baik. Selain karyawan, ini adalah garis pertahanan pertama yang harus dimiliki dan jalankan untuk melindungi dari segala macam ancaman, bukan hanya dari serangan ransomware. Juga, pastikan produk selalu dipatch dan up-to-date. Penting untuk menggunakan solusi sandbox berbasis cloud untuk memastikan jaringan perusahaan terlindungi dari serangan zero-day.
- Membayar uang tebusan untuk decryptor tidak dianjurkan. Penjahat dunia maya adalah penjahat, tidak ada jaminan atas apa yang akan mereka lakukan setelah menerima pembayaran. Membayar uang tebusan juga bisa berarti menempatkan organisasi sebagai target karena akan dilihat sebagai organisasi yang bersedia membayar lagi di masa depan.
- Ransomware merupakan tipe malware yang terus berkembang. Solusi menyeluruh wajib dilakukan dengan mengamankan semua pintu masuk jaringan (internet, email, endpoint, server, vpn, usb port).
- Menggunakan teknologi perlindungan tingkat lanjut seperti zero trust dan endpoint detection and response (EDR).
Cloud menawarkan perlindungan ransomware, karena organisasi dapat menggunakannya untuk strategi pencadangan dan pemulihan.
Perusahaan dapat membuat cadangan terisolasi yang tidak dapat diakses dari lingkungan inti perusahaan tanpa membuat perubahan infrastruktur atau memerlukan banyak penyesuaian otentikasi/otorisasi administratif.
Memulihkan dari serangan ransomware
Setelah serangan ransomware terjadi, organisasi harus mengikuti rencana respon insiden ransomware yang idealnya telah dibuat dan diuji jauh sebelum serangan.
Perlu diketahui, tidak semua ransomware dapat dipulihkan seperti sedia kala. Sebagian besar harus merelakan filenya terenkripsi.
Menghapus ransomware bisa berakibat fatal jika salah dalam penanganan. Dan sebagai profesional keamanan harus memastikan mereka tidak mengizinkan malware menembus lebih jauh ke dalam sistem.
Langkah yang harus diambil adalah:
- Isolasi perangkat yang terinfeksi (putuskan dari jaringan data).
- Tentukan jenis ransomware untuk memungkinkan upaya perbaikan yang lebih bertarget. Hampir semua ransomware tidak dapat didekripsi ulang, namun dengan mengetahui jenis ransomware dapat membantu menentukan langkah penanganan dan penutupan sumber masalah.
- Hapus ransomware menggunakan perangkat lunak anti malware atau anti ransomware untuk mengkarantinanya, meminta bantuan profesional keamanan eksternal, dan jika perlu menghapusnya secara manual.
- Pulihkan sistem dengan memulihkan versi OS sebelumnya sebelum serangan terjadi (system restore).
- Jika perangkat tersebut dianggap tidak terlalu penting, dapat dilakukan instalasi ulang untuk mempersingkat waktu, pastikan ESET Endpoint menjadi software pertama yang diinstall setelah instalasi OS pertama sebelum terhubung ke internet dan melakukan online update serta installasi aplikasi lain.
Skema Pertahanan Terhadap Ransomware
Selain langkah perlindungan di atas, Prosperita menyarankan skema pertahanan berikut sebagai layer pertahanan dari ransomware:
- Cloud mail security sebagai pertahananan awal terhadap semua email sebelum sampai ke server, saat ini di indonesia sudah tersedia dan dapat digunakan gratis untuk umkm/startup seperti www.spamcleaner.id
- Email Server Security, pertahanan di sisi server untuk menyaring email sebagai pertahanan server email itu sendiri dan filter email. ESET menyediakan produk ESET Mail Security for Exchange untuk pengguna Microsoft Exchange.
- Pertahanan di sisi server menggunakan endpoint yang dikhususkan untuk server. ESET menyediakan ESET Server Security yang dapat berjalan di sistem operasi Windows/Mac/Linux.
- Monitoring di sisi jadingan LAN/WAN menggunakan Network Traffic Analysis yang didesain khusus dan memilki kemampuan untuk mengamati ancaman serangan digital seperti Greycortex.
- Pertahanan di sisi endpoint yang wajib diinstall ke setiap perangkat tanpa kecuali, termasuk kontrol port USB. Layaknya sudah dilengkapi oleh cloud analysis dan sandboxing. ESET menyedianan produk ESET Protect yang sudah terintegrasi untuk kebutuhan ini.
- Edukasi semua personel terhadap bahaya malware, khususnya ransomware dengan memberikan informasi berkala.