JURNALSECURITY | Jakarta — Indonesia mengalami serangan siber ketiga di bulan pertama 2022, pada 17 Januari 2022. Hal ini terjadi kemungkinan karena Indonesia menjadi salah satu target utama ransomware selama beberapa tahun terakhir.
Terakhir, ransomware menyerang salah satu bank di Indonesia yang diduga mencuri data karyawan ‘tidak penting’ sebelum menyebarkan muatan ransomware pada beberapa perangkat di jaringannya, tetapi operasi bank tidak terganggu.
Ransomware juga sebelumnya menyerang berbagai instansi di Indonesia beberapa waktu yang lalu. Pada 2019, 2020 dan 2021 Emisoft melaporkan bahwa Indonesia dan India bergantian setiap tiga bulan sebagai pemimpin global dalam menerima serangan ransomware.
Meskipun Indonesia menempati urutan kedua, India memimpin secara global menerima lebih dari 18% dari semua serangan. Meski begitu, diperkirakan prevalensi perangkat lunak bajakan di kedua negara dapat memfasilitasi banyak serangan ransomware.
Menurut umpan Twitter, platform pemantauan aktivitas berbahaya The DarkTracer, Conti Ransomware Group, mengklaim mereka memperoleh 130GB data dan mengkompromikan 368 sistem (jauh dari 16 PC yang awalnya dilaporkan).
Conti Group menawarkan Ransomware-as-a-Service (RaaS) dan diduga terkait dengan Wizard Spider, kelompok kejahatan dunia maya berbasis di Rusia yang terkenal karena serangan malware menggunakan BazarLoader dan Ryuk.
Adapun, bank yang diserang oleh Ransomware tersebut mengalami serangan cyber Distributed Denial of Service (DDoS) sebelumnya pada tahun 2016 tetapi tidak ada dampak moneter.
Meskipun tidak diungkapkan bagaimana serangan itu terjadi, taktik serangan yang paling umum digunakan adalah email phishing, rekayasa sosial untuk mengumpulkan informasi untuk menebak kata sandi yang lemah, dan serangan lubang air.
Serangan lubang air (yang dapat dimulai dengan phising atau rekayasa sosial) mengarahkan pengguna ke situs web berbahaya tempat malware diunduh tanpa sepengetahuan pengguna. Pada dasarnya, serangan ini ditargetkan pada orang-orang, mata rantai terlemah dalam rantai pembunuhan serangan siber.
Ada kemungkinan bahwa kampanye pencurian kredensial besar-besaran mungkin telah berkontribusi pada serangan ransomware jika salah satu dari 502.581 kredensial pengguna Indonesia mengizinkan akses ke sistem.
Bank Indonesia menyatakan mereka memiliki strategi mitigasi untuk serangan semacam itu. Menurut Badan Siber dan Sandi Negara (BSSN) pada umumnya pihak yang diserang oleh Ransomware akan melakukan hal-hal berikut jika terjadi serangan siber:
1. Isolasi PC yang terkena ransomware dan putuskan sambungan server kategori kritis agar tidak terpengaruh oleh ransomware.
2. Melakukan pemberantasan [pemusnahan] file yang dicurigai sebagai sumber penyebaran ransomware.
3. Melakukan monitoring terkait indikasi pemusnahan data yang terjadi.
Namun, di era ancaman persisten canggih (APT) dan ransomware yang diaktifkan AI, langkah-langkah itu saja tidak cukup untuk menghentikan setiap langkah dalam rantai pembunuhan serangan ransomware.
Ancaman generasi baru bersembunyi diam-diam di lingkungan dan tertidur selama berbulan-bulan sebelum mengaktifkan kembali dan menyerang lagi. Lebih buruk lagi, mekanisme komunikasi yang digunakan malware generasi berikutnya ini sangat tersembunyi dan hampir tidak mungkin dideteksi tanpa alat deteksi yang tepat.
Pengguna harus bekerja dengan mitra keamanan atau vendor yang menyediakan solusi kuat untuk ransomware yang terbukti secara global untuk memblokir setiap langkah dalam rantai pembunuhan serangan ransomware.
Solusinya seharusnya tidak hanya mendeteksi dan mencegah penyebaran lateral ransomware berbahaya berbasis AI yang tidak aktif menggunakan platform pemburu & respons ancaman, tetapi segera mendeteksi dan menghentikan dekripsi file di seluruh organisasi menggunakan kemampuan perlindungan titik akhir canggih seperti Ransomware Honeypot.
Pengguna tidak boleh bergantung pada teknologi dan solusi lama yang mencoba menebak file penting mana yang harus dicadangkan karena sistem dengan cepat dienkripsi, hanya untuk kemudian menemukan bahwa cadangan online juga dienkripsi.
Ransomware telah menjadi ancaman siber terbesar di seluruh dunia selama pandemi. Tetapi sementara pandemi pada akhirnya akan surut, ransomware sebagai ancaman global baru saja dimulai.[lian]
