Pengenalan

Seiring dengan meningkatnya ketergantungan kita pada infrastruktur digital, dampak dari serangan ransomware menjadi semakin parah, mengganggu operasi harian, dan menyebabkan kerugian keuangan. Menangkap para penjahat cyber menjadi lebih sulit karena mereka menggunakan metode-metode canggih untuk menyembunyikan jejak mereka. Salah satu alat yang mereka adopsi adalah kriptokurensi untuk menerima pembayaran tebusan. Mereka memanfaatkan sifat terdesentralisasi dan pseudonim kriptokurensi sebagai bentuk pembayaran yang disukai. Hanya pada tahun 2023, serangan ransomware menghasilkan lebih dari $1 miliar dalam pembayaran tebusan, sebagai melaporkanoleh perusahaan analisis blockchain, Chainalysis.

Apa itu Ransomware?

Ransomware adalah perangkat lunak berbahaya yang dirancang untuk mengenkripsi data sistem, membuatnya tidak dapat diakses sampai tebusan dibayar. Serangan siber ini menargetkan individu, bisnis, dan organisasi pemerintah, mengeksploitasi kerentanan dalam sistem mereka untuk mendapatkan akses tanpa izin. Setelah malware diterapkan, ia mengenkripsi file dan menuntut pembayaran, biasanya dalam bentuk kripto, untuk mendekripsi data.

Sementara tujuan utama dari serangan ransomware pada umumnya adalah tujuan moneter, dalam beberapa kasus, juga digunakan untuk menyebabkan gangguan operasional, mendapatkan akses tidak sah ke informasi sensitif, atau menekan organisasi untuk mematuhi tuntutan lainnya. Ini juga telah digunakan sebagai alat perang siber antara negara-negara dengan ketegangan politik.

Sejarah dan Evolusi Ransomware

Serangan ransomware yang pertama yang diketahui adalah AIDS Trojan pada tahun 1988, juga dikenal sebagai PC Cyborg Virus. Itu didistribusikan melalui disket ke peserta konferensi Organisasi Kesehatan Dunia. Setelah sejumlah reboot komputer, trojan mengenkripsi file dan menuntut tebusan sebesar $189 yang dibayar ke P.O. Box di Panama. Serangan ini menggunakan enkripsi primitif dibandingkan dengan standar saat ini, tetapi membentuk dasar bagi ransomware modern. Pada tahun 2006, enkripsi RSA yang canggih digunakan untuk menyebarkan ransomware melalui situs web dan melalui email spam, dengan pembayaran tebusan dilakukan dengan voucher, paysafecards, dan metode elektronik lainnya yang sulit dilacak.

Sumber: Chainalysis

Pada tahun 2010, ketika Bitcoin semakin populer, para penyerang mulai menuntut tebusan dalam bentuk mata uang pseudonim yang jauh lebih sulit dilacak. Sejak itu, model ransomware yang lebih baru dan lebih canggih telah dikembangkan, membangun industri kriminal yang telah mengumpulkan lebih dari $3 miliar dari tahun 2019 hingga 2024.

Peran Kripto dalam Ransomware

Salah satu fitur utama dari kripto, terutama Bitcoin, adalah sifatnya yang pseudonim. Meskipun transaksi tercatat di blockchain, identitas pihak yang terlibat disembunyikan oleh alamat dompet, sehingga sulit dilacak kembali ke penyerang. Sistem pembayaran tradisional, seperti kartu kredit dan transfer bank, meninggalkan jejak identitas yang jelas yang dapat digunakan oleh penegak hukum untuk menyelidiki kejahatan cyber.

Dengan transaksi Bitcoin yang dapat dilacak secara publik di blockchain, beberapa kriminal dunia maya beralih ke mata uang kripto berfokus privasi seperti Monero, yang menawarkan fitur anonimitas dan menggunakan alamat tersembunyi dan tanda tangan cincin untuk lebih menyembunyikan rincian transaksi.

Bagaimana Ransomware Kripto Bekerja

Ransomware kripto menyusup ke sistem target, biasanya melalui email phishing, unduhan berbahaya, atau mengeksploitasi kerentanan sistem. Begitu masuk, malware mengenkripsi file di komputer atau jaringan korban menggunakan algoritma enkripsi kompleks, membuat data tidak dapat diakses.

Sumber: ComodoSSL

Tahapan operasi dilaksanakan secara bertahap;

• Infeksi
• Enkripsi
• Permintaan Tebusan

Infeksi

Crypto-ransomware masuk ke perangkat korban melalui saluran seperti;

Email Phishing: Penjahat dunia maya mengirim email yang terlihat berasal dari sumber yang sah, menipu penerima untuk mengklik tautan berbahaya atau mengunduh lampiran yang terinfeksi. Berkas-berkas ini sering menyamar sebagai dokumen penting atau pembaruan, menyembunyikan sifat asli mereka.

Perangkat Lunak Usang: Ransomware dapat memanfaatkan bug dalam perangkat lunak versi lama dari sistem operasi atau aplikasi. Hal ini terbukti dalam serangan WannaCry, yang menggunakan eksploitasi dalam Microsoft Windows.

Malvertising: Pengguna dapat secara tidak sadar berinteraksi dengan iklan yang menipu untuk mengunduh pembaruan perangkat lunak palsu yang mengarah pada instalasi ransomware.

Hacks Protokol Desktop Jarak Jauh: Protokol Desktop Jarak Jauh (RDP) digunakan untuk menjaga koneksi jarak jauh ke server dalam situasi di mana karyawan organisasi bekerja dari lokasi berbeda. Antarmuka RDP pada komputer karyawan berkomunikasi melalui protokol enkripsi dengan komponen RDP pada server. Meskipun dienkripsi, mode koneksi ini rentan terhadap hack yang digunakan pelaku jahat untuk mengunggah ransomware ke server perusahaan.

Enkripsi

Setelah masuk ke dalam sistem, ransomware mulai mengenkripsi file-file korban. Crypto-ransomware menggunakan metode enkripsi seperti:

• RSA (Rivest–Shamir–Adleman): Algoritma enkripsi asimetris yang menggunakan sepasang kunci publik dan privat. Kunci publik mengenkripsi file, dan kunci privat, yang dipegang oleh penyerang, diperlukan untuk mendekripsi mereka.
• AES (Advanced Encryption Standard): Sebuah metode enkripsi simetris di mana kunci yang sama digunakan untuk enkripsi dan dekripsi. Ransomware menggunakan ini untuk mengenkripsi file, dan kunci disimpan bersama penyerang.

Malware ini menargetkan berbagai jenis file, termasuk dokumen, gambar, video, dan database, apa pun yang mungkin memiliki nilai bagi korban. Selama proses ini, pengguna mungkin bahkan tidak sadar bahwa data mereka terkunci sampai enkripsi selesai, meninggalkan mereka tanpa opsi pemulihan yang segera.

Salah satu pola yang mencolok dalam serangan ransomware besar adalah bahwa mereka terjadi selama liburan atau saat sebagian besar staf tidak online untuk menghindari deteksi.

Permintaan Tebusan

Sumber: Proofpoint

Setelah mengenkripsi data, ransomware menampilkan catatan tebusan kepada korban, seringkali melalui jendela pop-up, file teks, atau halaman HTML.

Layar permintaan tebusan yang meminta Bitcoin sebagai pertukaran untuk kunci privat
Sumber: Varonis

Jumlah tebusan biasanya diminta dalam Bitcoin atau Monero dengan tautan ke situs pembayaran atau metode untuk menghubungi para penyerang (kadang-kadang dihosting di web gelap).

Sumber: Proofpoint

Jika korban mematuhi permintaan dan mentransfer jumlah yang diminta, penyerang dapat memberikan kunci dekripsi untuk membuka kunci file. Namun, membayar uang tebusan tidak menjamin penyerang akan menindaklanjutinya. Dalam beberapa kasus, korban tidak pernah menerima kunci dekripsi bahkan setelah pembayaran, atau mereka mungkin menghadapi tuntutan tebusan tambahan.

Para ahli keamanan cyber dan lembaga penegak hukum menyarankan untuk tidak membayar tebusan, karena para penjahat cyber dapat melakukan ancaman ganda, di mana para penyerang tidak hanya mengenkripsi file korban tetapi juga mencuri data sensitif. Mereka kemudian mengancam untuk melepaskan atau menjual data jika tebusan lainnya tidak dibayar.

Serangan Ransomware Kripto yang Menonjol

WannaCry (2017)

WannaCry adalah salah satu serangan ransomware yang paling terkenal dan tersebar luas dalam sejarah. Serangan ini memanfaatkan kerentanan dalam Microsoft Windows yang dikenal sebagai EternalBlue, yang sebelumnya telah dicuri oleh kelompok hacker Shadow Brokers dari NSA. WannaCry menginfeksi lebih dari 200.000 komputer di 150 negara, termasuk institusi-institusi besar seperti National Health Service (NHS) Inggris, FedEx, dan Renault. Serangan ini menyebabkan gangguan yang luas, terutama dalam sistem kesehatan, di mana layanan pasien terkena dampak yang serius.

Catatan Penebusan WannaCry
Sumber: CyberSpades

Para penyerang menuntut $ 300 $ dalam Bitcoin dengan imbalan kunci dekripsi, meskipun banyak korban tidak dapat memulihkan data mereka bahkan setelah membayar. Serangan itu akhirnya dihentikan oleh seorang peneliti keamanan yang mengaktifkan "kill switch" yang tertanam dalam kode malware, tetapi tidak sebelum menyebabkan kerusakan miliaran dolar.

NotPetya (2017)

NotPetya adalah malware ganda yang berfungsi sebagai ransomware dan malware penghapus yang dirancang untuk menyebabkan kerusakan daripada meminta tebusan.

Catatan Pemerasan NotPetya
Sumber: Rangkuman Keamanan

Malware tersebut tampaknya menuntut tebusan Bitcoin, tetapi bahkan setelah pembayaran, pemulihan data terenkripsi tidak mungkin, menunjukkan bahwa keuntungan finansial bukanlah tujuan sebenarnya. Berbeda dengan ransomware tradisional, NotPetya tampaknya memiliki motivasi politik, menargetkan Ukraina selama periode ketegangan geopolitik dengan Rusia. Meskipun akhirnya menyebar secara global, dampaknya merusak perusahaan multinasional besar, termasuk Maersk, Merck, dan FedEx, yang mengakibatkan kerugian keuangan global diperkirakan lebih dari $10 miliar.

DarkSide (2021)

DarkSide mendapat perhatian global setelah serangannya terhadap Colonial Pipeline, jalur pipa bahan bakar terbesar di Amerika Serikat, yang menyebabkan kelangkaan bahan bakar di sepanjang Pantai Timur. Serangan itu mengganggu pasokan bahan bakar dan menyebabkan pembelian panik secara luas. Colonial Pipeline akhirnya membayar tebusan sebesar $4,4 juta dalam bentuk Bitcoin, meskipun FBI kemudian mengembalikan sebagian dari tebusan tersebut.

Catatan Pemerasan DarkSide

Sumber: KrebsonSecurity

Ransomware-as-a-Service

RaaS adalah model bisnis di mana pencipta ransomware menyewakan perangkat lunak jahat mereka kepada afiliasi atau penjahat dunia maya lainnya. Afiliasi menggunakan perangkat lunak ini untuk melancarkan serangan, membagi keuntungan tebusan dengan pengembang ransomware.

REvil

REvil (juga dikenal sebagai Sodinokibi) adalah salah satu kelompok ransomware paling canggih, beroperasi sebagai operasi ransomware-as-a-service (RaaS).

REvil telah dikaitkan dengan serangan terhadap organisasi global terkenal, termasuk JBS (pemasok daging terbesar di dunia) dan Kaseya, perusahaan perangkat lunak. Ini mempengaruhi lebih dari 1.000 bisnis yang mengandalkan produk perangkat lunaknya.

Tepuk tangan

Sumber: BleepingComputer

Clop adalah Ransomware as a Service (RaaS) lain yang melakukan kampanye spear-phishing skala besar yang menargetkan perusahaan dan menuntut tebusan yang besar dan kuat. Operator Clop menggunakan teknik pemerasan ganda: Mereka mencuri data sebelum mengenkripsinya dan mengancam akan membocorkan informasi sensitif jika uang tebusan tidak dibayarkan.

Pada tahun 2020, Clop bertanggung jawab atas pelanggaran data massif yang terkait dengan perangkat lunak transfer file Accellion, yang berdampak pada beberapa universitas, lembaga keuangan, dan lembaga pemerintah.

Membela Diri Dari Ransomware Kripto

Pertahanan yang paling efektif dimulai dengan mencegah malware masuk ke sistem Anda. Berikut adalah beberapa langkah yang dapat melindungi komputer Anda dari ransomware.

Kesadaran Keamanan Siber

Pengguna dan karyawan harus dilatih untuk mengenali dan menanggapi ancaman seperti email phishing atau lampiran yang mencurigakan. Pelatihan kesadaran keamanan siber secara teratur dapat secara signifikan mengurangi risiko infeksi yang tidak sengaja.

Pembaruan Perangkat Lunak

Pembaruan dan perbaikan teratur untuk sistem operasi, aplikasi, dan perangkat lunak keamanan mengurangi risiko serangan dengan membatasi paparan terhadap ransomware yang disebabkan oleh perangkat lunak usang.

Cadangkan Data

Jika terjadi serangan ransomware, memiliki backup terbaru memungkinkan korban untuk mengembalikan data mereka tanpa membayar tebusan. Backup harus disimpan secara offline atau di lingkungan cloud yang tidak terhubung langsung ke jaringan, untuk melindunginya dari terinfeksi oleh ransomware.

Filter Email

Sistem penyaringan email memindai pesan masuk untuk tautan, lampiran, atau karakteristik yang mencurigakan. Filter ini dapat memblokir email yang mengandung elemen jahat yang diketahui sebelum mencapai kotak masuk pengguna.

Segmentasi Jaringan dan Kontrol Akses

Segmentasi jaringan membatasi penyebaran ransomware setelah infiltrasi ke sistem Anda, bahkan jika satu bagian jaringan terpengaruh, kerusakan dapat terkendali. Para ahli menyarankan untuk memisahkan sistem dan data sensitif dari operasi reguler, membatasi akses ke area kritis.

Kontrol akses seperti otentikasi multi-faktor (MFA) dan prinsip hak terendah (memberikan pengguna hanya akses yang mereka butuhkan) dapat membatasi akses pengguna. Jika seorang penyerang mendapatkan akses ke satu akun atau sistem, segmentasi dan kontrol akses dapat mencegah pergerakan lateral di seluruh jaringan, membatasi jangkauan ransomware.

Solusi Deteksi dan Respons Ujung (EDR)

Solusi EDR menyediakan pemantauan dan analisis terus-menerus dari aktivitas endpoint, membantu mendeteksi tanda-tanda awal infeksi ransomware. Alat-alat ini dapat merespons secara otomatis pada perilaku mencurigakan, mengisolasi perangkat yang terinfeksi dan mencegah penyebaran ransomware di seluruh jaringan.

Kesimpulan

Ransomware Kripto menyoroti salah satu penggunaan yang salah dari mata uang kripto, di mana para penjahat memanfaatkan anonimitas teknologi blockchain. Meskipun tidak banyak yang bisa dilakukan mengenai cryptocurrency sebagai tebusan, langkah-langkah terbaik yang dapat dilakukan adalah melindungi pengguna dan sistem dari infeksi ransomware dengan menghindari tautan phishing dan melakukan pembaruan perangkat lunak secara teratur.

Selain itu, menjaga cadangan data secara teratur memastikan bahwa file-file penting dapat dipulihkan tanpa membayar tebusan jika terjadi serangan. Segmentasi jaringan berfungsi sebagai langkah pertahanan penting lainnya, karena membatasi penyebaran ransomware, membatasinya hanya pada bagian-bagian tertentu dari sistem dan melindungi area-area yang tidak terkena dampak.