Ransomware Yang Dipersenjatai

Oktober 19, 2020

41 7 minute read

Ini bukan sekadar pertanyaan apakah harus membayar

Dr. Inez Miyamoto/Daniel K. Inouye Asia-Pacific Center for Security Studies

Serangan ransomware yang dipersenjatai terhadap organisasi publik dan swasta makin meningkat di seluruh dunia. Ransomware adalah perangkat lunak berbahaya, atau malware, yang digunakan untuk membuat korban tidak dapat mengakses sistem mereka.

Peretas mempersenjatai ransomware melalui taktik pemerasan ganda untuk mengintimidasi korban supaya membayar tebusan besar. Skema ini melibatkan dua langkah. Peretas pertama-tama berjanji untuk mendekripsi sistem komputer korban jika korban membayar. Kemudian, mereka menekan korban dengan mengancam merilis file sensitif korban ke publik, sering kali meningkatkan permintaan tebusan.

Ada dua kategori ransomware: kripto dan locker. Ransomware kripto mengenkripsi file data pada sistem, meminta korban membayar untuk mendapatkan kunci dekripsi guna memulihkan file data. Ransomware locker memblokir akses file atau login, meminta korban membayar untuk mendapatkan kode pembuka kunci.

Beberapa perusahaan korban menyerah pada permintaan peretas dan membayar tebusan. Pada 31 Desember 2019, peretas menggunakan ransomware Sodinokibi/REvil untuk menyerang Travelex, sebuah perusahaan valas. Sebelum mencoba memeras 88 miliar rupiah (6 juta dolar A.S.), peretas mengakses server Travelex selama beberapa bulan dan mengeksfiltrasi 5 gigabyte data sensitif, demikian menurut laporan BBC pada 7 Januari 2020. Pada akhirnya, Travelex membayar tebusan sekitar 33,7 miliar rupiah (2,3 juta dolar A.S.), demikian menurut laporan surat kabar The Wall Street Journal pada 9 April 2020.

Perusahaan korban lainnya menolak membayar, yang hanya membuatnya dihadapkan dengan konsekuensi pelanggaran data (data breach). Pada tahun 2019, peretas menggunakan ransomware Maze untuk menyerang perusahaan staf keamanan, Allied Universal, dan meminta 300 bitcoin, atau sekitar 33,7 miliar rupiah (2,3 juta A.S.). Tanpa diketahui Allied Universal, peretas mengeksfiltrasi data rahasia dalam jumlah besar sebelum mengenkripsi jaringan.

Para pemantau memeriksa layar mereka di Kantor Teknologi Gubernur Colorado yang berbasis di Denver, yang ditugasi melindungi negara bagian ini dari serangan siber. THE ASSOCIATED PRESS

Peretas Maze kemudian meningkatkan tekanan pada Allied Universal dengan menghubungi BleepingComputer, sebuah situs web bantuan komputer, dengan perincian tentang pelanggaran data tersebut. Peretas mengancam akan merilis 700 megabyte data rahasia Allied Universal, demikian menurut laporan BleepingComputer pada tanggal 21 November 2019. Mereka meningkatkan tebusan menjadi 55,8 miliar rupiah (3,8 juta dolar A.S.), tetapi Allied Universal tidak membayar. Serangan itu diketahui publik ketika peretas mem-posting informasi di sebuah forum peretas dan malware Rusia.

Serangan ransomware Maze terhadap Allied Universal merupakan penggunaan taktik pemerasan ganda yang pertama dilaporkan. Sebelum insiden ini, korban tidak menganggap serangan ransomware sebagai pelanggaran data. Tak lama setelah itu, peretas Clop, Nemty, dan DoppelPaymer mulai mengadopsi taktik serupa.

Implikasi dari Peralihan Taktik

Organisasi dengan polis asuransi siber dapat menjadi target yang lebih mudah untuk diperas oleh peretas karena perusahaan asuransi membujuk mereka untuk membayar tebusan, demikian menurut laporan ZDNet, sebuah situs web berita teknologi bisnis pada 17 September 2019. Perusahaan asuransi siber ingin membatasi biaya klaim ransomware dan akan merekomendasikan pembayaran tebusan meski organisasi korban dapat memulihkan dari cadangan karena itu cenderung berbiaya lebih besar dari membayar tebusan. Oleh karena itu, perusahaan asuransi berperan dalam meningkatkan serangan ransomware dengan mengotorisasi pembayaran ransomware oleh klien, demikian menurut laporan ProPublica, sebuah organisasi berita nirlaba independen pada 27 Agustus 2019. Peretas mendapatkan keuntungan dari pembayaran ransomware yang diotorisasi oleh perusahaan asuransi, sehingga memicu siklus kejahatan ransomware.

Untuk memutus siklus ini, 225 walikota di Amerika Serikat menandatangani resolusi Juli 2019 untuk berhenti membayar tebusan kepada peretas. Pada Oktober 2019, Biro Investigasi Federal A.S. mengeluarkan pengumuman layanan publik ransomware yang mendesak korban, termasuk organisasi sektor swasta dan pemerintah daerah, untuk berhenti membayar tebusan. Per November 2019, peretas mulai menggunakan taktik pemerasan ganda, yang mencakup eksfiltrasi data sensitif.

Menambahkan eksfiltrasi data pada ransomware merupakan pengubah permainan. Di masa lalu, perusahaan korban tidak memperlakukan serangan ransomware sebagai pelanggaran data karena serangan hanya membatasi akses ke jaringan mereka dengan enkripsi. Sekarang, dengan pemerasan ganda, peretas mengeksfiltrasi data sensitif, sehingga perusahaan korban harus mengikuti persyaratan pelaporan peraturan yang berlaku dan mempertimbangkan paparan kewajiban pihak ketiga.

Kewajiban pihak ketiga mencakup cedera terhadap pihak lain, seperti pelanggan atau vendor, dan dapat mencakup klaim atas pelanggaran kontrak atau penalti industri kartu pembayaran. Misalnya, peretas Sodinokibi/REvil mengklaim telah menyerang firma hukum hiburan New York, Grubman Shire Meiselas & Sacks. Mereka mem-posting cuplikan layar kontrak hukum pelaku hiburan, termasuk kontrak Madonna dan Christina Aguilera, di dark web dan mengancam akan merilis data dalam sembilan fase, demikian menurut laporan Cointelegraph, sebuah situs web yang meliput industri kripto pada 8 Mei 2020.

Serangan terhadap Grubman Shire Meiselas & Sacks menyoroti bagaimana firma hukum dapat menanggung biaya kewajiban pihak ketiga dari data klien yang dieksfiltrasi. Peretas dapat menggunakan data yang dicuri, seperti email, nomor telepon, dan informasi hubungan, untuk melancarkan serangan terhadap rantai pasokan firma hukum, termasuk klien, firma hukum lain, dan perusahaan media, atau menjual informasi di dark web. Tindakan ini meningkatkan paparan kewajiban pihak ketiga organisasi korban, yang kemudian meningkatkan klaim asuransi.

Penyedia asuransi siber menanggung biaya yang lebih tinggi karena peralihan taktik ransomware baru-baru ini. Akibatnya, tarif asuransi siber A.S. meningkat sebanyak 25% karena meningkatnya biaya ransomware, demikian menurut laporan Reuters pada 22 Januari 2020.

Eksfiltrasi data memerlukan keterampilan tingkat tinggi untuk membobol jaringan dan menghapus data sensitif. Oleh karena itu, beberapa peretas ransomware mulai bekerja sama dengan peretas berketerampilan tinggi untuk melancarkan serangan jenis baru bukan hanya terhadap jaringan korban tetapi juga terhadap rantai pasokannya, demikian menurut laporan AdvIntel, sebuah perusahaan pencegahan penipuan pada 21 November 2019. Peretas terampil menggunakan taktik advanced persistent threat (APT) untuk tetap berada dalam jaringan tanpa terdeteksi selama jangka waktu yang lama. Tujuan utama mereka adalah mencuri data sensitif, tetapi mereka juga dapat menghancurkan cadangan jaringan dan mengeksploitasi rantai pasokan korban melalui pencurian kredensial dan infeksi pembaruan perangkat lunak. Peretas ransomware kemudian melepaskan ransomware untuk mengenkripsi jaringan perusahaan korban dan meminta bayaran tinggi. Sementara itu, peretas terampil mengumpulkan informasi untuk mengeksploitasi pelanggan dan vendor korban, yang membuat mereka mengalami risiko serangan pihak ketiga.

Bahkan individu yang tidak terampil pun dapat memonetisasi ransomware dengan menyewa atau membeli kit distribusi dari peretas ransomware. Secara khusus, peretas menggunakan model bisnis yang disebut ransomware-as-service (RaaS) untuk memonetisasi ransomware melalui individu yang tidak terampil, yang disebut afiliasi. Sebagai imbalan atas akses ke ransomware (misalnya infrastruktur, pembaruan perangkat lunak, dan dukungan), afiliasi berbagi uang tebusan dengan peretas. Afiliasi RaaS cenderung menyerang organisasi kecil untuk tebusan kecil (sebagian besar kurang dari 73,5 juta rupiah (5 ribu dolar A.S.)), demikian menurut laporan perusahaan analisis blockchain Chainalisis pada 23 Januari 2020. Meski jumlah tebusan mungkin lebih rendah, serangan itu lebih meluas, sehingga menguntungkan bagi peretas RaaS. Untuk menghindari penegak hukum, RaaS dijual di forum dark web menggunakan mata uang kripto.

Untuk membeli RaaS atau membayar tebusan, peretas ransomware hanya menerima mata uang kripto untuk menjaga agar transaksi tidak dapat dilacak. Beberapa mata uang kripto dapat dilacak, demikian menurut laporan CipherTrace pada 15 Oktober 2019. Bitcoin dan Ethereum menggunakan buku besar transaksi publik yang berisi alamat dompet pengirim dan penerima, sehingga penegak hukum dapat melacak pembayaran. Tidak seperti Bitcoin dan Ethereum, Monero adalah mata uang kripto anonimitas tinggi dengan informasi transaksi terenkripsi. Pada Maret 2020, peretas Sodinokibi/REvil mulai menggunakan Monero saja, demikian menurut laporan BleepingComputer pada 11 April 2020. Mata uang kripto anonimitas tinggi lainnya yang digunakan peretas ransomware termasuk Dash dan Zcash.

Ransomware selama COVID-19

Selama pandemi COVID-19, peretas dari berbagai kelompok ransomware menyatakan mereka tidak akan menyerang organisasi medis dan perawatan kesehatan, demikian menurut laporan BleepingComputer pada 18 Maret 2020. Ini ternyata tidak benar. Pada Maret 2020, peretas Maze menyerang sebuah pusat pengujian COVID-19 di Inggris, Hammersmith Medicines Research, dan peretas Sodinokibi menyerang sebuah perusahaan bioteknologi A.S. yang meneliti COVID-19 bernama 10x Genomics.

Pada April 2020, Organisasi Kepolisian Kriminal Internasional (Interpol) mengeluarkan peringatan karena meningkatnya serangan ransomware terhadap lembaga perawatan kesehatan kritis. Untuk menjaga fasilitas medis tetap beroperasi selama pandemi, perusahaan keamanan seperti Emsisoft dan Coveware menawarkan bantuan pemulihan ransomware gratis.

Pemulihan dari Ransomware

Perusahaan yang membayar tebusan menerima kunci untuk mendekripsi data mereka, tetapi kunci dekripsi tidak selalu berfungsi. Beberapa ransomware memiliki tingkat pemulihan rendah sebesar 40%, sedangkan varian ransomware lainnya hampir 100%, demikian menurut laporan Coveware pada 29 April 2020. Karena korban tidak tahu apakah kunci dekripsi akan berfungsi, mereka harus memiliki cadangan untuk memulihkan dari serangan ransomware.

Korban dengan strategi cadangan 3-2-1 berada dalam posisi terbaik untuk pulih dari serangan ransomware. Dengan strategi ini, organisasi membuat tiga salinan cadangan datanya di dua platform, umumnya cakram keras dan di awan, dan menyimpan satu salinan cadangan di luar lokasi. Bahkan dengan salinan cadangan sekalipun, korban akan mengalami waktu henti operasional.

Waktu henti pemulihan rata-rata 15 hari, demikian menurut laporan Coveware pada bulan April. Korban dapat meminimalkan waktu henti dan dampak negatif dengan membuat rencana menghadapi serangan. Mereka harus membuat rencana — tanggapan insiden, keberlanjutan bisnis, dan pemulihan dari bencana — dan mengujinya.

Setiap organisasi publik, swasta, dan nirlaba berisiko terkena serangan ransomware, tetapi mereka dapat mengurangi risiko melalui tindakan higiene siber dan pertahanan siber. Dengan beralihnya peretas ransomware ke ransomware yang dipersenjatai, ada baiknya bagi organisasi untuk mempertimbangkan langkah-langkah berikut:

Perlakukan semua serangan ransomware sebagai pelanggaran data.
Pahami dan bersiap menghadapi taktik advanced persistent threat (APT).
Identifikasi, petakan, dan lindungi data sensitif organisasi.
Identifikasi, petakan, dan lindungi rantai pasokan organisasi (pelanggan, vendor, mitra, aplikasi perangkat lunak, dll.)
Bersiap menghadapi serangan yang berasal dari rantai pasokan organisasi (phishing, pembaruan perangkat lunak, dll.)

Tersedia sumber daya online untuk mempelajari lebih lanjut tentang ransomware. Agensi Keamanan Infrastruktur & Keamanan Siber A.S. menyediakan kiat keamanan ransomware (ST19-001) melalui situs webnya (www.us-cert.gov). Situs web No More Ransom (www.nomoreransom.org) adalah inisiatif dari Unit Kejahatan Teknologi Tinggi Nasional Kepolisian Belanda, Pusat Kejahatan Siber Eropa Europol, dan perusahaan keamanan siber Kaspersky dan McAfee. Situs web ini memberikan informasi ransomware dan membantu korban mengambil data mereka untuk beberapa varian ransomware. Situs web MalwareHunterTeam (https://malwarehunterteam.com) menawarkan informasi tentang lebih dari 600 varian ransomware dan membantu identifikasi ransomware.

Sumber Daya Informasi Ransomware

The Carnegie Mellon University Software Engineering Institute merekomendasikan: https://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html
The National Institute of Standards and Technology merilis draf panduan versi untuk ransomware dan kejadian destruktif lainnya pada Januari 2020: https://www.nccoe.nist.gov/sites/default/files/library/sp1800/di-detect-respond-nist-sp1800-26-draft.pdf
The Center for Internet Security menyediakan primer untuk ransomware: https://www.cisecurity.org/white-papers/security-primer-ransomware/
Emsisoft mengidentifikasi strategi untuk deteksi dan mitigasi eksfiltrasi data: https://blog.emsisoft.com/en/35235/ransomware-data-exfiltration-detection-and-mitigation-strategies/
The Center for Internet Security menyediakan pedoman konfigurasi untuk melindungi sistem: https://www.cisecurity.org/cis-benchmarks/
Untuk panduan kendali privasi dan keamanan pada sistem pemerintahan, lihat Publikasi Khusus 800-53 Revisi 4 dari National Institute of Standards and Technology: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf