Waspada! Ransomware Terus Merajalela dan Ini Rekomendasinya (Bagian I)

Terutama di Provinsi Aceh, ekonomi rakyat saat itu bahkan lumpuh hampir selama sepekan karena layanan satu-satunya perbankan yang boleh beroperasi (sesuai Pasal 2 Qanun Aceh No 11/2018 tentang Lembaga Keuangan Syariah) sama sekali tak bisa berjalan, termasuk ATM-nya.

Pemprov Aceh saat itu langsung membuka peluang mengembalikan operasional bank konvensional ke Aceh guna melengkapi satu-satunya BUMN perbankan syariah tersebut.

Pendapat senada dirilis Kepala Eksekutif Pengawasan Perbankan Otoritas Jasa Keuangan (OJK), Dian Ediana Rae.

Namun pada saat bersamaan, yang tak setuju wacana itu datang dari figur sekaliber Wapres RI sekaligus Ketua Harian Komite Nasional Ekonomi dan Keuangan Syariah (KNEKS) KH Ma'ruf Amin.

Begitu pula Direktur Lembaga Riset Institute For Demographic and Poverty Studies (IDEAS) sekaligus Pengamat Ekonomi Syariah, Yusuf Wibisono.

Sementara Menneg BUMN Erick Thohir merespons hal itu dengan tegas merombak jajaran direksi dan komisaris bank tersebut.

Erick mengatakan, pergantian struktur organisasi menjadi bentuk evaluasi atas insiden gangguan jaringan, beberapa waktu lalu. Direktur IT dan Direktur Manajemen Risiko langsung diganti!

Penulis menghimpun dari berbagai literatur yang valid, bahwa biang kerok terduga kuat kejadian tersebut adalah ransomware.

Yakni malware (perangkat lunak yang sengaja dibuat dengan tujuan destruktif) yang dirancang menyerang suatu perangkat untuk meng-enkripsi file di dalamnya.

Dengan cara itu, maka file dan sistem yang ada tidak dapat digunakan korban sampai threat actor (otak serangan ransome dari luar) meminta uang tebusan kepada korban sebagai pengganti key decryptor-nya.

Ransomware masuk melalui trojan horse atau merupakan eskalasi dari threat actor yang sudah bisa “masuk” ke sistem. Ransomware mengenkripsi file-file pada OS (sistem operasi), serta “mengirimkan”/ ”menyimpan” key enkripsi kepada threat actor tadi.

Akibat langsung dari enkripsi file, maka file menjadi tidak tersedia, sehingga sistem seperti database atau aplikasi dapat terhenti. Ini dapat menyebar di internal dengan mekanisme virus, memanfaatkan kelemahan sistem internal.

Nah, guna menghentikan penyebaran dengan mekanisme virus/kelemahan sistem, atau menghentikan akses threat actor, beberapa organisasi mematikan dulu sistem-nya.

Hacker dan threat actor pada kasus perbankan di atas diduga memanfaatkan celah keamanan dan menginfeksi sistem teknologi informasinya dengan Ransomware jenis LockBit 3.0 saat masa libur Lebaran 2023, untuk melancarkan aksinya agar tidak menimbulkan kecurigaan korban.

Lockbit 3.0 menyebar melalui berbagai vektor serangan, termasuk melalui Email Phishing, Malvertising, Software Exploits, Koneksi Remote Desktop Protocol (RDP), dan Koneksi Virtual Private Network (VPN).

LockBit pertama dibentuk 2019 yang dikenal dengan ABCD karena menyerang dengan ".abcd virus" extension. LockBit 3.0 ini beroperasi sebagai Ransomware-as-a-Service (RaaS) yang merupakan lanjutan LockBit 2.0.

Sejak Januari 2020, LockBit mengadopsi pendekatan ransomware berbasis afiliasi, di mana afiliasinya menggunakan berbagai taktik untuk menargetkan bisnis dan organisasi infrastruktur penting.

Afiliasi diberi akses ke LockBit tool dengan imbalan persentase pembayaran tebusan (25 persen).

Uniknya, operator LockBit tidak bekerja dengan penutur bahasa Inggris dan melarang penargetan Rusia atau negara Commonwealth of Independent States (CIS) mana pun.

LockBit menjadi kelompok yang sejauh ini paling aktif dengan jumlah korban paling banyak, serta Lockbit 3.0 dianggap sebagai “juara” dalam RaaS.

Lockbit & WannaCry

Serangan LockBit khususnya di Indonesia serta ke beberapa perusahaan besar di dunia, bahkan ke perusahaan security, selalu dengan modus yang sama, yakni meretas sistem perusahaan dan mencuri data-datanya.

Contohnya pada 13 Maret 2023, LockBit telah meretas Maximum Industries, salah satu kontraktor perusaaan ternama milik Elon Musk, SpaceX.

LockBit mengklaim telah meretas Maximum Industries dan mengakses 3.000 gambar/skema yang sudah disertifikasi SpaceX.

Dalam postingan-nya, LockBit mengancam melelang data tanggal 20 Maret 2023, jika Maximum tidak membayar tebusan.

Sebelumnya, 2 Feb 2023, LockBit mengklaim telah mengenkripsi cleared derivatives division dari ION Group (perusahaan software keuangan global).

Diberitakan seluruh server down dan sebanyak 42 klien perusahaan di Eropa dan US terdampak serangan ini.

Setelah melayangkan ancaman akan menyebarkan data yang dicuri, LockBit mengklaim sudah menerima uang tebusan walaupun tidak ada tanggapan resmi dari ION Group mengenai hal ini.

Pada 10 Januari 2023, perusahaan layanan pengiriman terkemuka di Inggris, Royal Mail, juga diserang LockBit.

Serangan menyebabkan gangguan parah pada layanan selama 6 minggu serta membuat perusahaan tidak dapat mengirimkan barang-barang tertentu ke luar negeri.

Data yang dicuri kala itu bahkan mencapai sebesar 45 GB untuk kemudian disebar secara daring.

Demikian pula dengan Wannacry Ransomware di seluruh dunia. Pada 12 Mei 2017, total IP (Internet Protocol) terserang 1.878 saja, namun sebulan kemudian, 9 Juni 2017, telah terserang IP sebanyak 518.887.

Dengan cara distribusi berbeda dari ransomware umumnya, WannaCry telah menyebabkan kerugian hingga 4 miliar dollar AS di seluruh dunia.

WannaCry bahkan pernah menghantam salah satu rumah sakit ternama di Jakarta. Berawal dari salah seorang karyawan RS yang pulang tanpa mematikan komputer yang terhubung dengan internet, sehingga menjadi jalur pembuka WannaCry untuk menginfeksi komputer yang terhubung dengan internet.

Total 60 unit komputer terinfeksi, data pasien ter-enkripsi, dan akhirnya menyebabkan sistem antrean tidak bisa berfungsi.

Threat actor kala itu meminta uang tebusan 300 dollar AS supaya bisa menyelamatkan data tersebut. Tak ada kerugian materil signifikan, data pasien terselamatkan karena IT di RS sering backup data periodik, hanya tercipta kerugian proses bisnis yang beberapa waktu dilakukan secara manual.

Wannacry bahkan menimpa perusahaan logistik dunia asal AS, Fedex, pada 12 Mei 2017. Imbasnya, beberapa sistem berbasis Windows kehilangan sejumlah informasi pelanggan, dan menyebabkan paket tidak akan bergerak melalui sistem.

Renault, perusahaan otomotif besar asal Perancis, juga diserang pada 14 Mei 2017 dan menyebabkan harus menunda produksi di pabrik mereka di Perancis, Slovenia, dan Rumania agar virus tidak terus menyebar.

PetroChina, perusahaan minyak China, diserang pada 13 Mei 2017, serta menyebabkan lebih dari 20.000 SPBU PetroChina offline. Sebanyak 80 persen SPBU baru dapat melanjutkan operasi normal setelah 25 jam.

Kemudian, raksasa teknologi Jepang, Hitachi, diserang 15 Mei 2017, yang menginfeksi sistem komputer mereka, sehingga tidak bisa menerima ataupun mengirim email.

Bank sentral di negeri ini pun pernah terserang ransomware Conti pada 2021 lalu, terutama menyerang komputer personal-nya di kantor Bengkulu. Setelah ditelusuri, ada sekitar 16 komputer yang terdampak.

Memang, tidak ada data terkait sistem kritikal di BI (pusat) yang terdampak, dan tidak ada kerugian finansial. Namun tentu, secara kredibilitas tidak baik ketika selevel bank sentral saja bisa diserang.

Lantas, pertanyaan besarnya, apa rekomendasi menangani serangan ransomware ini?

Bersambung, baca artikel selanjutnya: Waspada! Ransomware Terus Merajalela dan Ini Rekomendasinya (Bagian II - Habis)