Jakarta – Tim Insiden Keamanan Internet dan Infrastruktur Indonesia (Indonesia Security Incident Response Team on Internet and Infrastructure/ID-SIRTII) memaparkan tahapan serangan siber ransomware.

“Aplikasi berbahaya yang tidak diinginkan (malware) khususnya jenis ransomware bukan hal baru di Indonesia. Pada tahun 2017 di tingkat Nasional untuk pertama kalinya layanan publik online terkena serangan ransomware jenis Wannacry dan beberapa bulan kemudian terulang kembali jenis Petya,” kata Wakil Ketua Tim Insiden Keamanan Internet dan Infrastruktur Indonesia (Indonesia Security Incident Response Team on Internet and Infrastructure/ID-SIRTII) Muhammad Salahuddien Manggalany pada Rabu (3/7/2024).

Peretas menyandera data dengan mengunci (enkripsi) data dengan ransomware, sehingga tidak dapat diakses pemiliknya. Kemudian, dia meminta tebusan uang sebagai ganti kode rahasia untuk kunci pembuka data.

Data survei tahunan IBM di dunia menyebutkan ransomware telah menyasar berbagai industri, khususnya sektor finansial dengan tingkat kerugian di Amerika Serikat (AS) mencapai 20% dari total omzet per tahun.

Muhammad Salahuddien Manggalany mengemukakan banyak riset dilakukan untuk mengetahui cara kerja ransomware dan bagaimana mengatasinya.

Sampai sekarang belum diperoleh solusi komprehensif untuk mencegah serangan ransomware dan metode membuka paksa kode penguncian data (decode).

Jawaban terbaik tantangan ransomware adalah lebih banyak backup dan rencana mitigasi dan penjaminan oleh asuransi baik untuk skema pembayaran tebusan maupun kompensasi dan ganti kerugian mitra kerja.

“Selain itu antiipasi yang bisa dilakukan adalah latihan rutin kesiapsiagaan, khususnya kemampuan respon,” ujarnya.

Ransomware terus berkembang kemampuannya dan memiliki teknologi yang semakin canggih. Namun, serangan ransomware memiliki lifecycle yang dapat dijadikan patokan bagi para praktisi cyber security untuk memahami berbagai potensi resiko.

Tiga tahapan serangan siber ransomware, sebagai berikut:

Phase 1: Reconnaissance and target selection
Pada tahapan ini, penyerang (attacker) mengamati, mengumpulkan informasi dan mempelajari calon sasarannya. Hal ini untuk mengetahui kerentanan sistem yang dapat dieksploitasi berbagai teknik serangan pada saat ini kecenderungannya memanfaatkan kelemahan manusia.

Langkah lainnya adalah mencari valuable asset (data dan informasi berharga) dan melakukan proses penilaian, seringkali dengan cara menawarkan sejumlah sample data yang berhasil diambil kepada calon pembeli, apakah data tersebut bernilai dan menarik minat mereka.

“Sekaligus juga untuk mengetahui sensitivitas data bagi korban secara psikologis sehingga penyerang (hacker) memiliki formula untuk menetapkan besarnya nilai tebusan yang masuk akal dan sesuai kemampuan target,” tuturnya.

Phase 2: Initial access, lateral movement and privilege escalation
Pada tahapan ini, penyerang (attacker), Muhammad Salahuddien Manggalany, menyusun rencana penetrasi dan mewujudkannya mulai dengan mencuri kredensial akses, memanfaatkan kesalahan konfigurasi sistem serta kelalaian manusia.

Ketika sudah berhasil masuk, secara bertahap meningkatkan hak akses hingga mencapai tingkatan tertinggi yang memungkinkan mereka mengakses asset yang paling berharga.

Hak akses tertinggi seperti root, supervisor, super admin, memungkinkan penyerang menguasai sistem sepenuhnya. Jadi, dia dapat menyusun rangkaian serangan lanjutan dan yang terpenting menyalin data dan membawanya ke luar (exfiltration).

Proses ini dapat berlangsung lama secara diam-diam hingga berbulan-bulan tanpa disadari oleh korban.

Penyerang juga mempersiapkan skenario akhir serangan pada tahap ini dengan mengaktifkan penguncian data dan melakukan penghapusan jejak, menempatkan backdoor, dan kejutan tambahan, seperti skenario serangan lain untuk pengalihan perhatian, seperti serangan DDOS dan bermain tarik ulur penguncian data.

“Seperti mempercepat hitung mundur (count down) ancaman penghancuran data ketika korban berusaha melakukan deskripsi secara paksa, untuk menekan psikologis korban sehingga mengambil keputusan yang diharapkan: terpaksa membayar uang tebusan,” ujarnya.

Penguncian data dapat dilakukan pada keseluruhan sistem (locker) sehingga korban kehilangan kendali sistem sepenuhnya.

Namun, ini juga bisa mengunci data dilakukan secara parsial hanya untuk jenis data tertentu atau secara acak, terutama bila ukuran data sangat besar karena proses penguncian sangat membutuhkan sumber daya komputasi dan prosesnya berlangsung lama.

Phase 3: Extortion and communication
Pada tahapan ini, penyerang (attacker) mencoba berkomunikasi dengan korban, melakukan negosiasi dan menyiapkan skema pembayaran, biasanya menggunakan akun e-wallet kripto ataupun dengan jasa perantara penerima pembayaran.

“Apabila korban membayar, pada umumnya penyerang (attacker) tidak langsung memberikan kunci pembuka untuk unlock data sekaligus namun justru hanya sebagian – kembali untuk mempermainkan psikologis korban dan menuntut pembayaran yang lebih besar. Modus ini disebut dengan pemerasan ganda (double extortion),” ujarnya.

Dalam kasus ransomware seringkali negosiasi hanya tipuan atau untuk mengulur waktu (buying time) memberi kesempatan penyerang melakukan hal lainnya.

Contohnya, menemukan calon pembeli data yang berminat berkat publikasi korban selama penyanderaan atau mengundang aktor baru kompetitor bisnis korban untuk turut berinvestasi atau memberikan sponsor.

Phase 4: Post Exposure
Pada tahapan ini, penyerang (attacker) menjual asset yang berhasil diperoleh kepada pihak lain yang berminat secara terbuka atau lelang tertutup (auction) atau pihak sponsor beberapa waktu kemudian setelah pembayaran dilakukan atau tidak dilakukan oleh korban.

“Seringkali penyerang (attacker) juga melakukan serangan siber lainnya karena pada saat mencuri data mereka menemukan berbagai jenis kelemahan lainnya yang dapat dieksploitasi dan/atau menghasilkan uang dengan cara lain,” ujarnya. (adm)

Sumber: detik.com