Jakarta –
Serangan siber ransomware Brain Cipher melumpuhkan Pusat Data Nasional Sementara (PDNS) 2. Ahli siber mengungkapkan secara rinci tahapan serangan siber ransomware.
Hal ini dijelaskan Wakil Ketua Tim Insiden Keamanan Internet dan Infrastruktur Indonesia (Indonesia Security Incident Response Team on Internet and Infrastructure/ID-SIRTII) Muhammad Salahuddien Manggalany.
“Aplikasi berbahaya yang tidak diinginkan (Malware) khususnya jenis ransomware bukan hal baru di Indonesia. Pada tahun 2017 di tingkat Nasional untuk pertama kalinya layanan publik online terkena serangan ransomware jenis Wannacry dan beberapa bulan kemudian terulang kembali jenis Petya,” ujar dalam pernyataan tertulisnya, Rabu (3/7/2024).
Disampaikannya, malware jenis ini disebut dengan ransomware karena punya ciri khas menyandera data dengan cara mengunci (enkripsi) data sehingga tidak dapat diakses pemiliknya, kemudian meminta tebusan uang sebagai ganti kode rahasia untuk kunci pembuka data.
Menurut data survey tahunan IBM di seluruh dunia, Ransomware telah menyasar berbagai industri, khususnya sektor finansial dengan tingkat kerugian di Amerika Serikat saja mencapai 20% dari total omzet per tahun.
Salahuddien mengatakan telah banyak riset dilakukan untuk mengetahui cara kerja Ransomware dan bagaimana mengatasinya. Sampai sejauh ini, belum ada solusi komprehensif untuk mencegah serangan Ransomware dan metode membuka paksa kode penguncian data (decode).
“Jawaban terbaik tantangan Ransomware adalah lebih banyak backup dan rencana mitigasi dan penjaminan oleh asuransi baik untuk skema pembayaran tebusan maupun kompensasi dan ganti kerugian mitra kerja. Selain itu, antiipasi yang bisa dilakukan adalah latihan rutin kesiapsiagaan, khususnya kemampuan respon,” tuturnya.
Ransomware sendiri terus berkembang kemampuannya dan memiliki teknologi yang semakin canggih. Namun secara umum serangan ransomware memiliki Llfecycle yang dapat dijadikan patokan bagi para praktisi cyber security untuk memahami berbagai potensi resiko akibat lanjutan yang mungkin terjadi.
Ia pun mengungkapkan tiga tahapan serangan siber ransomware, sebagai berikut:
Phase 1: Reconnaissance and target selection
Pada tahapan ini, penyerang (attacker) mengamati, mengumpulkan informasi dan mempelajari calon sasarannya. Bukan hanya untuk mengetahui kerentanan sistem yang dapat dieksploitasi berbagai teknik serangan pada saat ini kecenderungannya memanfaatkan kelemahan manusia, tetapi yang lebih penting adalah mencari valuable asset (data dan informasi berharga) dan melakukan proses penilaian, seringkali dengan cara menawarkan sejumlah sample data yang berhasil diambil kepada calon pembeli, apakah data tersebut bernilai dan menarik minat mereka.
“Sekaligus juga untuk mengetahui sensitivitas data bagi korban secara psikologis sehingga penyerang (hacker) memiliki formula untuk menetapkan besarnya nilai tebusan yang masuk akal dan sesuai kemampuan target,” ungkapnya.
Phase 2: Initial access, lateral movement and privilege escalation
Pada tahapan ini, penyerang (attacker) menyusun rencana penetrasi dan mewujudkannya mulai dengan mencuri kredensial akses, memanfaatkan kesalahan konfigurasi sistem serta kelalaian manusia. Ketika sudah berhasil masuk, secara bertahap meningkatkan hak akses hingga mencapai tingkatan tertinggi yang memungkinkan mereka mengakses asset yang paling berharga.
Hak akses tertinggi seperti root, supervisor, super admin, memungkinkan penyerang menguasai sistem sepenuhnya sehingga dapat menyusun rangkaian serangan lanjutan dan yang terpenting menyalin data dan membawanya ke luar (exfiltration). Proses ini dapat berlangsung lama secara diam-diam hingga berbulan-bulan tanpa disadari oleh korban.
Penyerang juga mempersiapkan skenario akhir serangan di tahap ini, mengaktifkan penguncian data dan melakukan penghapusan jejak, menempatkan backdoor, dan kejutan tambahan, seperti skenario serangan lain untuk pengalihan perhatian – misalnya dengan serangan DDOS – dan bermain tarik ulur penguncian data.
“Seperti mempercepat hitung mundur (count down) ancaman penghancuran data ketika korban berusaha melakukan deskripsi secara paksa, untuk menekan psikologis korban sehingga mengambil keputusan yang diharapkan: terpaksa membayar uang tebusan,” tutur dia.
Penguncian data dapat dilakukan pada keseluruhan sistem (locker) sehingga korban kehilangan kendali sistem sepenuhnya. Tetapi, bisa juga penguncian data dilakukan secara parsial hanya untuk jenis data tertentu atau secara acak, terutama bila ukuran data sangat besar karena proses penguncian sangat membutuhkan sumber daya komputasi dan prosesnya berlangsung lama.
Phase 3: Extortion and communication
Pada tahapan ini, penyerang (attacker) mencoba berkomunikasi dengan korban, melakukan negosiasi dan menyiapkan skema pembayaran, biasanya menggunakan akun e-wallet kripto ataupun dengan jasa perantara penerima pembayaran.
“Apabila korban membayar, pada umumnya penyerang (attacker) tidak langsung memberikan kunci pembuka untuk unlock data sekaligus namun justru hanya sebagian – kembali untuk mempermainkan psikologis korban dan menuntut pembayaran yang lebih besar. Modus ini disebut dengan pemerasan ganda (double extortion),” kata Salahuddien.
Dalam kasus ransomware seringkali negosiasi hanya tipuan atau untuk mengulur waktu (buying time) memberi kesempatan penyerang melakukan hal lainnya. Contohnya, menemukan calon pembeli data yang berminat berkat publikasi korban selama penyanderaan atau mengundang aktor baru kompetitor bisnis korban untuk turut berinvestasi atau memberikan sponsor.
Phase 4: Post Exposure
Pada tahapan ini, penyerang (attacker) menjual asset yang berhasil diperoleh kepada pihak lain yang berminat secara terbuka atau lelang tertutup (auction) atau pihak sponsor beberapa waktu kemudian setelah pembayaran dilakukan atau tidak dilakukan oleh korban.
“Seringkali penyerang (attacker) juga melakukan serangan siber lainnya karena pada saat mencuri data mereka menemukan berbagai jenis kelemahan lainnya yang dapat dieksploitasi dan/atau menghasilkan uang dengan cara lain,” pungkasnya.
(agt/fay)
