Threat landscape
Apa itu ransomware dan bagaimana cara memulihkannya?
Ringkasnya
Apa itu ransomware, bagaimana ia masuk ke jaringan, apakah harus membayar, dan bagaimana organisasi di Indonesia mendeteksi, menahan, serta memulihkan serangan.
Karyawan tiba pada Senin pagi, masuk ke sistem, dan setiap layar menampilkan hal yang sama: file berganti nama menjadi karakter acak, folder yang tak mau terbuka, dan sebuah catatan teks yang menjelaskan bahwa data telah dienkripsi dan ada tebusan yang harus dibayar. Tak seorang pun bisa mengakses drive bersama. Sistem akuntansi tak mau berjalan. Di suatu waktu selama akhir pekan, ketika kantor kosong, seorang pelaku menyusuri jaringan dan memicu enkripsi pada saat paling sepi. Begitulah kebanyakan insiden ransomware mengumumkan dirinya: bukan dengan peringatan, melainkan dengan pekerjaan yang mendadak berhenti.
Apa itu ransomware
Ransomware adalah malware yang menyandera data Anda. Dalam bentuk klasiknya, ia mengenkripsi file di setiap mesin dan drive bersama yang bisa dijangkau, lalu meninggalkan catatan yang meminta pembayaran, biasanya dalam bentuk mata uang kripto, untuk kunci yang membuka kembali file itu. Sampai Anda punya kunci tersebut, atau backup yang bersih, data itu tak bisa dipakai.
Ancaman ini berubah dalam beberapa tahun terakhir, dan perubahan itu penting untuk cara Anda bertahan. Sebagian besar kelompok serius kini menjalankan apa yang disebut pemerasan ganda. Sebelum mengenkripsi apa pun, mereka diam-diam menyalin data sensitif keluar dari jaringan. Lalu mereka mengancam dua hal sekaligus: bayar, atau file tak kembali, dan bayar, atau kami publikasikan yang kami curi. Ini penting karena backup yang baik menyelesaikan masalah pertama, tetapi bukan yang kedua. Anda bisa memulihkan sistem dan tetap menghadapi kemungkinan data pelanggan atau kontrak dibocorkan, itulah sebabnya memperlakukan ransomware sekadar sebagai masalah backup meninggalkan separuh risikonya tanpa penanganan.
Bagaimana ransomware masuk ke jaringan
Ransomware jarang menerobos lewat cara yang rumit. Titik masuknya sama dengan kelemahan biasa yang memungkinkan sebagian besar intrusi terjadi, dan pelaku hanya perlu salah satunya berhasil.
| Titik masuk umum | Mengapa berhasil |
|---|---|
| Email phishing | Seseorang membuka lampiran atau mengeklik tautan yang menjalankan muatan pertama pelaku |
| RDP atau VPN yang terbuka | Akses jarak jauh yang dibiarkan terjangkau dari internet memberi pelaku pintu untuk mencoba kata sandi |
| Sistem menghadap internet yang belum ditambal | Celah yang sudah diketahui pada server publik atau perangkat tepi dieksploitasi sebelum diperbaiki |
| Kredensial curian atau dipakai ulang | Kata sandi yang dibeli dari kebocoran sebelumnya atau dipakai ulang membuat pelaku bisa masuk sebagai pengguna asli |
Berhasil masuk baru permulaan. Setelah di dalam, pelaku biasanya butuh waktu untuk berpindah dari mesin pertama ke mesin yang lebih berharga, memburu backup untuk dihancurkan dan akun yang mengendalikan seluruh jaringan. Enkripsi yang akhirnya Anda lihat adalah langkah terakhir, bukan yang pertama. Jeda antara pijakan awal dan muatan akhir itulah tempat serangan bisa ditangkap, asalkan ada yang mengawasi.
- 01
Akses awal
Email phishing, layanan yang terbuka, atau kata sandi curian memberi pelaku pijakan pertama di satu mesin.
- 02
Penyebaran dan eskalasi
Pelaku berpindah ke sistem lain dan mengambil alih akun istimewa, memetakan jaringan dan mencari aset paling berharga.
- 03
Backup dan data disasar
Sebelum mengenkripsi, mereka menemukan dan menghapus backup serta menyalin data sensitif keluar, menyiapkan daya tawar sekaligus ancaman membocorkan.
- 04
Enkripsi dan tuntutan
File dienkripsi di seluruh jaringan, sering pada malam hari atau akhir pekan, dan sebuah catatan tebusan muncul meminta pembayaran.
Mengapa ini penting di Indonesia
Ransomware bukan masalah yang jauh bagi organisasi di Indonesia. Pada Juni 2024 sebuah serangan ransomware terhadap pusat data nasional mengganggu layanan pemerintah selama beberapa hari dan menjadi contoh publik paling jelas tentang seberapa jauh kerusakan menyebar ketika serangan tidak terdeteksi lebih awal. Penjelasan kami tentang apa itu SOC membahas insiden itu dan apa yang ia ungkap soal celah deteksi.
Sebagian besar serangan di sini tidak pernah masuk berita, dan itu bagian dari risikonya. Organisasi yang terkena jarang menjadi sasaran khusus. Mereka dijangkau lewat titik masuk biasa di atas, dan insidennya menjadi serius karena tak ada yang mengawasi jaringan cukup dekat untuk menyadari pelaku bergerak di dalamnya sebelum enkripsi berjalan. Banyak organisasi beroperasi dengan tim keamanan kecil dan tanpa pemantauan di luar jam kerja, dan justru itulah sebabnya pelaku menyerang pada malam hari dan akhir pekan. Faktor penentunya hampir tak pernah soal apakah ransomware bisa menjangkau Anda. Ia soal seberapa cepat Anda akan menyadarinya, dan seberapa siap Anda memulihkan.
Mendeteksi, menahan, dan memulihkan
Karena ransomware bergerak menyusuri jaringan sebelum menyerang, pertahanan paling berguna adalah menyadari gerakan itu sejak dini. Deteksi berbasis perilaku mengawasi tindakan yang diambil sebuah serangan, login tak biasa, akun yang dibuat, backup yang dihapus, file yang dienkripsi dengan cepat, alih-alih menunggu tanda tangan yang sudah dikenal. Menangkap salah satu langkah itu memberi waktu untuk bertindak sebelum seluruh aset terkunci.
Ketika serangan sedang berlangsung, prioritas pertama adalah penahanan: mengisolasi mesin terdampak dan memutus akses pelaku agar enkripsi tak menyebar lebih jauh. Pemulihan lalu bergantung pada persiapan yang dilakukan jauh sebelum insiden. Backup harus ada, harus diuji sehingga Anda tahu ia benar-benar bisa dipulihkan, dan disimpan offline atau di luar jangkauan pelaku, sebab menghapus backup adalah salah satu hal pertama yang dilakukan kelompok yang cakap. Membangun ulang juga berarti menemukan bagaimana pelaku masuk dan menutup jalur itu lebih dulu, agar jaringan yang dipulihkan tak sekadar dienkripsi lagi sepekan kemudian. Panduan kami tentang respons ransomware di Indonesia mengulas penahanan dan pemulihan lebih rinci.
Pertanyaan soal tebusan ada di dalam semua ini, dan ia layak dihadapi dengan kepala dingin, bukan dengan patokan sederhana. Membayar tidak menjamin kunci dekripsi yang berfungsi atau kembalinya setiap file, bisa menandai organisasi sebagai pihak yang mau membayar sehingga layak diserang lagi, dan tergantung kelompok mana yang di balik serangan, bisa membawa risiko hukum atau sanksi. Semua itu bukan anjuran untuk membayar atau menolak. Itu kumpulan pertimbangan yang sebaiknya ditimbang bersama aparat penegak hukum dan penasihat hukum, bukan diputuskan sendirian di bawah tekanan penghitung waktu mundur pada sebuah catatan tebusan.
Peran Alpha Code
Ransomware ditentukan pada waktu antara pijakan pertama dan saat seseorang menghentikannya. Tim incident response Alpha Code membantu organisasi menahan serangan yang aktif dan memulihkan secara terkendali, sementara SOC-as-a-Service menyediakan pemantauan sepanjang waktu berbasis perilaku yang memberi Anda peluang menangkap serangan selagi masih menyebar, bukan setelah semuanya dienkripsi. Tujuan yang realistis bukanlah janji bahwa ransomware tak akan pernah menjangkau Anda. Ia adalah kesiapan untuk melihatnya lebih awal dan memulihkan tanpa membayar.
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Ransomware adalah malware yang mengunci akses Anda ke data sendiri, biasanya dengan mengenkripsi file di seluruh jaringan, lalu meminta tebusan untuk kuncinya. Serangan modern sering melangkah lebih jauh dengan mencuri salinan data terlebih dahulu, sehingga pelaku bisa mengancam akan membocorkannya. Tujuannya sama: memaksa korban membayar.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.