Memahami Seluk Beluk Ransomware

Cyberthreat.id–Ransomware naik daun pada 2017 ketika jenis “WannCry” melabrak ratusan komputer organisasi di dunia, termasuk dua rumah sakit di Jakarta.

Sejak itu, ransomware menjadi ancaman siber nyata yang menjadi perhatian khusus, meski sebetulnya istilah perangkat lunak jahat ini ada sejak 1989. (Baca: Ransomware Masih Kuat Sejak Serangan Pertama pada 1989)

Pada 2019, ransomware membuat gempar lagi. Puluhan kantor pemerintah dan organisasi swasta di AS terkena dampak. Itu tahun-tahun terparah AS diserang ransomware. (Baca: Yang Perlu Anda Ketahui tentang Ransomware)

Bukan makin mengendor, sejak itu aktivitas hacker kelompok ini makin merajalela dengan tebusan yang tinggi. Belum lama ini, bandit ransomware membuat AS gerah lantaran perusahaan migas terkemuka Colonial Pipeline menjadi korban. AS tuding hacker Rusia di balik operasi dunia maya itu. Akhir tahun lalu, perusahaan perangkat lunak SolarWinds juga membuat efek domino ke jaringan kantor pemerintah AS, termasuk ke Microsoft dan perusahaan keamanan siber, FireEye, setelah disusupi ransomware REvil.

Meski kejadian ransomware makin hari, kian sering terdengar, mungkin masih ada yang belum memahami tentang perangkat lunak jahat ini. Berikut ini penjelasan ransomware yang dikemukan oleh Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS dikutip dari situs webnya, diakses Minggu (18 Juli 2021). CISA baru-baru ini menerbitkan kanal online tentang ransomware bertajuk “Stopransomware” sejak kasus ransomware yang dialami perusahaan teknologi TI Kaseya.

Apakah ransomware itu virus?

Bukan. Ransomware ialah perangkat lunak jahat (malware), sedangkan virus adalah bagian dari keluarga malware.

Ransomware adalah jenis malware yang digunakan peretas untuk menginfeksi komputer dan mengenkripsi file komputer hingga uang tebusan dibayarkan. Setelah infeksi awal, ransomware akan berusaha menyebar ke sistem yang terhubung, termasuk drive penyimpanan bersama dan komputer lain yang dapat diakses.

Jika tuntutan tebusan tidak dipenuhi (atau korban tidak membayar uang tebusan), file atau data terenkripsi biasanya akan tetap terenkripsi dan tidak tersedia bagi korban. Bahkan, setelah uang tebusan dibayarkan untuk membuka kunci file terenkripsi, terkadang peretas akan meminta pembayaran tambahan, menghapus data korban, menolak mendekripsi data, atau menolak memberikan kunci dekripsi yang berfungsi untuk memulihkan akses korban.

Sebetulnya, tidak disarankan untuk membayar uang tebusan ke bandit ransomware karena tidak ada jaminan decryptor yang ditawarkan bisa memulihkan file yang terenkripsi.

Bagaimana cara kerja ransomware?

Ransomware mengidentifikasi drive pada sistem yang terinfeksi dan mulai mengenkripsi file dalam setiap drive. Ransomware umumnya menambahkan ekstensi ke file terenkripsi, seperti .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault, atau .petya, untuk menunjukkan bahwa file telah dienkripsi. Ekstensi file yang digunakan adalah unik untuk jenis ransomware.

Dari nama ekstensi itulah, seringkali nama-nama bandit ransomware dijuluki oleh kalangan peneliti keamanan siber, sebut saja Petya, CryptoLocker dan lain-lain.

Setelah ransomware menyelesaikan enkripsi file, malware membuat dan menampilkan file atau file yang berisi instruksi tentang bagaimana korban dapat membayar uang tebusan. Jika korban membayar uang tebusan, peretas dapat memberikan kunci kriptografik yang dapat digunakan korban untuk membuka kunci file, membuatnya dapat diakses.

Bagaimana ransomware menginfeksi?

Ransomware biasanya dikirimkan melalui email phishing atau melalui "drive-by downloads" Email phishing sering kali muncul seolah-olah dikirim dari organisasi yang sah atau seseorang yang dikenal oleh korban dan membujuk pengguna untuk mengklik tautan berbahaya atau membuka lampiran berbahaya.

Sementara, "drive-by downloads” adalah program yang diunduh secara otomatis dari internet tanpa persetujuan pengguna atau seringkali tanpa sepengetahuan mereka. Ada kemungkinan kode berbahaya dapat berjalan setelah diunduh, tanpa interaksi pengguna. Setelah kode berbahaya dijalankan, komputer terinfeksi ransomware.

Bagaimana cara melindungi data dan jaringan?

• Cadangkan data  komputer. Lakukan pencadangan sistem Anda dan file penting lainnya secara berkala, dan verifikasi pencadangan Anda secara teratur. Jika komputer Anda terinfeksi ransomware, Anda dapat memulihkan sistem ke kondisi sebelumnya menggunakan cadangan Anda.
• Simpan cadangan data secara terpisah. Praktik terbaik adalah menyimpan cadangan Anda di perangkat terpisah yang tidak dapat diakses dari jaringan, seperti di hard drive eksternal. Setelah pencadangan selesai, pastikan untuk melepaskan hard drive eksternal, atau memisahkan perangkat dari jaringan atau komputer.
• Latih organisasi Anda. Tiap organisasi/perusahaan/institusi harus memberikan pelatihan kesadaran keamanan siber kepada personel mereka. Idealnya, organisasi akan mengadakan sesi pelatihan kesadaran keamanan siber wajib secara rutin untuk memastikan personel mereka mendapat informasi tentang ancaman keamanan siber dan teknik pelaku ancaman saat ini. Bisa saja, melakukan simulasi email phishing kepada karyawan. Ini untuk menguji seberapa jauh karyawa memahami email phishing.

Bagaimana mencegah agar tak menjadi korban ransomware?

• Perbarui dan tambal komputer Anda. Pastikan aplikasi dan sistem operasi Anda telah diperbarui dengan patch terbaru. Aplikasi dan OS yang rentan adalah target dari sebagian besar serangan ransomware.
• Berhati-hatilah dengan tautan dan saat memasukkan alamat situs web. Selalu cek dan ricek saat mengklik langsung tautan dalam email, meskipun pengirimnya tampaknya adalah seseorang yang Anda kenal. Cobalah untuk memverifikasi alamat situs web secara independen. Perhatikan alamat situs web yang Anda klik, serta alamat yang Anda masukkan sendiri. Alamat situs web berbahaya sering kali tampak hampir identik dengan situs resmi, sering kali menggunakan sedikit variasi dalam ejaan atau domain yang berbeda.
• Buka lampiran email dengan hati-hati. Selalu waspada saat membuka lampiran email, bahkan dari pengirim yang Anda rasa sudah Anda kenal, terutama jika lampiran berupa file terkompresi atau file ZIP.
• Jaga keamanan informasi pribadi Anda. Periksa keamanan situs web untuk memastikan informasi yang Anda kirimkan dienkripsi.
• Verifikasi pengirim email. Jika Anda tidak yakin apakah email itu sah atau tidak, coba verifikasi keabsahan email tersebut dengan menghubungi pengirimnya secara langsung. Jangan mengklik tautan apa pun di email. Jika memungkinkan, gunakan email sebelumnya (yang sah) untuk memastikan bahwa informasi kontak yang Anda miliki untuk pengirim adalah asli sebelum Anda menghubungi mereka.
• Perbarui informasi tentang serangan siber. Selalu dapatkan informasi terbaru tentang ancaman keamanan siber dan informasi terbaru tentang teknik ransomware.
• Gunakan program perangkat lunak pencegahan. Instal perangkat lunak antivirus, firewall, dan filter email—dan terus perbarui—untuk mengurangi lalu lintas jaringan yang berbahaya.

Bagaimana cara merespons ketika terkena ransomware?

• Isolasi sistem yang terinfeksi. Hapus sistem yang terinfeksi dari semua jaringan, dan nonaktifkan nirkabel komputer, Bluetooth, dan kemampuan jaringan potensial lainnya. Pastikan semua drive bersama dan jaringan terputus baik kabel maupun nirkabel. 
• Matikan komputer dan perangkat lain. Matikan dan pisahkan (yaitu, hapus dari jaringan) komputer yang terinfeksi. Matikan dan pisahkan komputer atau perangkat lain yang berbagi jaringan dengan komputer yang terinfeksi yang belum sepenuhnya dienkripsi oleh ransomware. Jika memungkinkan, kumpulkan dan amankan semua komputer dan perangkat yang terinfeksi dan berpotensi terinfeksi di satu lokasi pusat, pastikan untuk memberi label dengan jelas pada semua komputer yang telah dienkripsi. Mematikan dan memisahkan komputer yang terinfeksi dan komputer yang belum sepenuhnya dienkripsi memungkinkan pemulihan file yang dienkripsi sebagian oleh spesialis.
• Amankan cadangan Anda. Pastikan data cadangan Anda offline dan aman. Jika memungkinkan, pindai data cadangan Anda dengan program antivirus untuk memastikan bahwa data tersebut bebas dari malware.

Bagaimana jika saya pengguna individu atau rumahan?

• Pengguna rumahan: segera hubungi Badan Siber dan Sandi Negara (BSSN) untuk meminta bantuan.
• Organisasi/perusahaan/institusi: segera laporkan insiden ransomware ke tim TI kantor Anda. Lapor ke BSSN dan aparat penegak hukum.
• Ubah semua kata sandi sistem setelah ransomware dihapus.[]