Membayar atau Tidak Bayar Tebusan, Dilema Menghadapi Serangan Ransomware

ANDA mungkin pernah mendengar berita tentang perusahaan atau organisasi yang mengalami serangan siber bernama ransomware.

Serangan ransomware mirip dengan peristiwa penyanderaan di bank, gedung atau fasilitas umum di mana pelaku meminta tebusan berupa uang (atau bentuk tebusan lain) sebagai syarat untuk membebaskan sandera.

Dalam serangan ransomware, yang menjadi sandera adalah data atau layanan berbasis internet penting dari perusahaan atau organisasi publik yang menjadi korban.

Berbeda dari aksi penyanderaan di dunia nyata yang nampak jelas atau dapat dilihat langsung oleh anggota pasukan anti-teror, pelaku serangan ransomware tidak kasat mata.

Yang kasat mata hanya dampak serangannya terhadap pada data, infrastruktur jaringan/sistem milik korban (individu atau institusi) dan kemungkinan terjadinya ancaman lain di masa yang akan datang.

Perlu ditegaskan bahwa pelaku serangan ransomware tidak berada di tempat kejadian perkara dan tidak ada yang bisa melihat pelaku serangan.

Pelaku bisa saja sedang duduk nyaman di depan komputer, namun sulit bagi aparat penegak hukum untuk melacak, apalagi menangkap mereka.

Pihak korban biasanya hanya punya dua pilihan: pertama, menolak tuntutan dengan risiko menanggung semua dampaknya (kehilangan data, kerugian finansial, reputasi, dll). Kedua, memenuhi tuntutan pelaku dengan membayar sejumlah tebusan.

Pilihan pertama mungkin akan sangat sulit jika korbannya adalah perusahaan atau organisasi yang datanya terkait dengan kegiatan bisnis mereka dan melibatkan banyak pihak.

Mengambil pilihan kedua seringkali tidak memecahkan masalah karena tidak ada jaminan bahwa pelaku bisa memulihkan data yang terenkripsi.

Lahir dan besar hingga menjadi ancaman global

Ransomware sudah menjadi masalah keamanan siber di seluruh dunia sejak lama, dimulai dengan AIDS Trojan (PC Cyborg) pertama kali muncul sekitar tiga dekade lalu (1989) yang mengenkripsi data dan menuntut tebusan kepada korbannya.

Ransomware ini secara masif menyebar dan menginfeksi lebih dari 75.000 pengguna PC di 99 negara, termasuk Indonesia.

‘Globalisasi’ ransomware terus berlanjut dalam beberapa tahun terakhir dan menyebabkan kerugian lebih dari 20 miliar dollar AS di dunia tahun 2021.

Serangan ransomware akan terus bertambah, semakin terorganisir, dan lebih mudah diakses. Kemunculan Ransomware as a service (RaaS) dari kelompok Conti adalah bukti bahwa berbagai pihak bisa memanfaatkan serangan ransomware.

Ransomware akan terus berevolusi di masa depan, dengan kemunculan varian-varian baru, grup ransomware baru, serta teknik dan taktik baru yang dirancang untuk mengeruk sebanyak mungkin uang dari serangan yang mereka luncurkan.

Setiap organisasi kini berisiko menjadi target ransomware, mulai dari sekolah/universitas, lembaga pemerintah, layanan kesehatan, perbankan, pabrik, infrastruktur dan target lain.

Membayar tebusan: pilihan terakhir dan perjudian besar

Sistem dan data terkait milik perusahaan akan selalu menjadi target utama serangan ransomware. Ibarat nyawa manusia yang dipertaruhkan dalam peristiwa penyanderaan, data pun menjadi ‘sumber kehidupan’ berjalannya roda bisnis perusahaan.

Tidak mengherankan jika sejumlah perusahaan yang belum memiliki strategi keamanan menyeluruh dan mendalam akan memutuskan membayar tebusan sebagai solusi terakhir.

Bernegosiasi untuk mendapatkan diskon tebusan bisa saja ditempuh perusahaan dengan bantuan pihak yang memang kompeten dalam urusan ini (dan juga harus dibayar), misalnya pengacara, konsultan keamanan siber, atau pihak yang berpengalaman dalam negosiasi dengan kelompok hacker.

Misalnya, tahun lalu CNA Financial Corp, perusahaan asuransi di AS, memilih bernegosiasi dan membayar 40 juta dollar AS ke sebuah grup ransomware untuk mendapatkan kembali akses ke jaringannya. Jumlah ini adalah harga diskon dari tebusan yang awalnya diminta pelaku sebesar 60 juta dollar AS.

Namun, masalahnya ternyata tidak berakhir sampai di situ. Sebuah studi terbaru mengungkapkan bahwa 80 persen perusahaan yang membayar uang tebusan mengalami serangan ransomware untuk kedua kalinya dan 40 persen dari mereka membayar tebusan lagi.

Ironisnya, 70 persen dari mereka yang membayar tebusan kedua kalinya harus membayar dalam jumlah yang lebih besar.

Akamai Technologies telah mengungkapkan bahwa hampir 30 persen dari serangan ransomware di dunia dilancarkan oleh kelompok ransomware terbesar di dunia, Conti, yang terutama menyasar industri manufaktur, diikuti oleh layanan bisnis (13,37 persen), dan industri ritel (11,14 persen).

Manufaktur adalah industri yang nilainya paling besar di Asia Pasifik, dengan estimasi penghasilan hingga 600 miliar dollar AS setahun hingga tahun 2030.

Kelompok ransomware yang motivasinya selalu uang menyasar industri manufaktur karena industri ini tidak boleh mengalami downtime dan disrupsi.

Jadi perusahaan manufaktur terpaksa membayar tebusan demi mengurangi disrupsi dalam operasional ataupun dalam pengiriman produk ke para pelanggan mereka.

Berdasarkan hasil temuan Akamai Ransomware Threat Report APJ Deep Dive H1 2022, meskipun Australia, India, dan Jepang dilaporkan pernah mengalami serangan ransomware terburuk di kawasan Asia Pasifik dan Jepang (APJ), Indonesia adalah salah negara yang disasar oleh serangan ransomware (menjadi salah satu dari 5 negara APJ berdasarkan jumlah serangan).

Selain industri manufaktur, bank sentral Indonesia (Bank Indoensia) juga sempat mengalami penyerangan ransomware pada awal tahun ini, walaupun pelaku tidak menuntut tebusan dan serangan tersebut tidak memengaruhi layanan publik.

Conti diperkirakan sudah bubar. Namun sebagai kelompok ransomware dengan pendapatan kotor tertinggi tahun 2021, yakni mencapai 180 juta dollar AS, taktik, teknik dan prosedur yang digunakan Conti dianggap berguna bagi kelompok-kelompok ransomware lainnya.

Menurut para konsultan keamanan, setidaknya ada tiga alasan utama yang membuat organisasi atau individu tidak disarankan untuk membayar uang tebusan ketika mendapat serangan ransomware.

Pertama, tidak ada jaminan semua datanya akan dapat diakses kembali (di-decrypt). Korban mungkin hanya mendapatkan kembali sebagian datanya atau tidak sama sekali.

Kedua, korban tidak mengetahui dengan pasti apakah datanya telah dijual di marketplace ilegal (dark web).

Ketiga, serangan ransomware akan kembali dilakukan di masa mendatang selama aksi tersebut masih menguntungkan bagi penyerang (selama korban masih membayar tebusan).

Strategi keamanan menghadapi ancaman ransomware

Tidak ada yang sempurna di dunia ini. Sistem keamanan jaringan dengan perlindungan perimeter dan endpoint terbaik pun tetap berpotensi disusupi atau dibobol oleh serangan ransomware.

Inilah sebabnya, perusahaan-perusahaan perlu menyiapkan strategi pertahanan kuat yang bisa meminimalkan dampak serangan ransomware dengan menghentikan penyebarannya dalam jaringan sedini mungkin.

Akamai merangkumnya dalam lima tahapan keamanan terhadap serangan ransomware, yaitu Prepare, Prevent, Detect, Remediate, dan Recover.

Dalam lingkungan hybrid saat ini, perimeter yang terdefinisi dan konstan tidak ada lagi karena karyawan dan mitra bisnis dari mana pun, harus mengakses aplikasi bisnis/data yang bisa berada di sistem lama di pusat data di tempat, atau berjalan dari platform cloud yang dibagikan secara publik.

Strategi paling efektif dalam mencegah atau memitigasi dampak dari serangan ransomware adalah dengan menerapkan kerangka kerja keamanan dengan konsep Zero Trust, termasuk mikrosegmentasi berbasis software.

Mikrosegmentasi memungkinkan visibilitas yang mendalam di alur komunikasi data, di seluruh server, mesin virtual, beban kerja, container, sistem lama dan aplikasi cloud, sehingga perusahaan bisa secara terperinci memahami dan melindungi aset IT mereka, mulai dari data center di fasilitas perusahaan, hingga cloud.

Pelanggaran keamanan bisa dideteksi sejak awal sehingga mitigasi dan langkah penahanan bisa dilakukan secepat mungkin.

Mikrosegmentasi seharusnya juga lebih sederhana, hemat biaya, dan mudah diimplementasikan.

Pendekatan segmentasi lama dengan menggunakan firewall jaringan, router dan pemisahan jaringan secara fisik, cenderung mahal, membosankan, rumit, tidak fleksibel, tidak lagi cocok untuk organisasi modern yang lincah.

Keberhasilan ransomware dalam menutup sistem dan data perusahaan, sebagian besar bergantung pada pergerakan lateralnya.

Strategi keamanan di atas telah ditawarkan oleh sejumlah vendor melalui produk-produk keamanan yang beragam.

Salah satunya Guardicore Akamai, bagian dari portofolio keamanan Akamai Zero Trust yang juga termasuk Zero Trust Network Access (ZTNA) dan Secure Web Gateway (SWG).

Produk ini memiliki kemampuan mikrosegmentasi yang memungkinkan perusahaan bisa menggelar kebijakan keamanan secara mendetail untuk aset IT, sehingga memungkinkan deteksi cepat jika ada penyusupan dan menghentikan penyebaran ransomware sebelum penyerang mendapatkan akses ke sistem dan data penting.

Perusahaan-perusahaan harus mengimplementasikan kemampuan dan proses untuk mengurangi waktu mitigasi setelah mendeteksi ada upaya ransomware atau malware untuk bergerak secara lateral.

Mereka juga harus membuat rencana proses pemulihan untuk mempertimbangkan aplikasi dan bagian mana yang harus kembali online pertama kali dan membuat kebijakan yang sesuai untuk menjaga keamananya saat jaringan lainnya dipulihkan.

Serangan ransomware juga menyasar aplikasi backup perusahaan dan mengenkripsi data backup yang disimpan.

Perusahaan-perusahaan harus melindungi aplikasi penting atau server mereka, dan besarta backup-nya. Hal ini akan memastikan bahwa penyerang tidak mendapatkan tambahan dukungan yang bisa menghentikan operasional bisnis.