Peran Kecerdasan Buatan Memerangi Ransomware

TREN serangan ransomware – salah satu jenis serangan siber dengan tujuan memperoleh tebusan – meningkat dramatis secara global.

Sepanjang 2023, sejumlah organisasi penting dunia seperti Toyota, the National Basketball Association (NBA), dan AXA, tercatat sebagai korban serangan ransomware.

Menurut pemerintah Amerika Serikat, serangan ransomware telah mengganggu layanan dan bisnis, memengaruhi bank, kantor pemerintah, rumah sakit, perusahaan energi, dan berbagai industri.

Pada 2022, organisasi di seluruh dunia mendeteksi 493,33 juta kasus serangan ransomware, naik signifikan dari 304,64 juta kasus pada 2020.

Lonjakan terjadi pada 2021, di mana jumlah serangan ransomware mencapai 623,25 juta kasus, didorong sejumlah faktor seperti meluasnya sistem kerja remote akibat pandemi yang membuka peluang baru bagi para penjahat siber.

Kendati sedikit turun pada 2022, namun kasus serangan ransomware yang dilaporkan tetap jauh lebih tinggi dibandingkan 2020.

Di Indonesia, ransomware menyerang berbagai organisasi penting mulai dari marketplace, perbankan, hingga sektor publik.

Laporan Lanskap Ancaman Siber 2023 Edisi Keempat Ensign InfoSecurity mengindikasikan sektor finansial sebagai satu dari empat target favorit serangan siber di Indonesia.

Badan Siber dan Sandi Negara juga menyebut ransomware menjadi satu dari tiga insiden serangan siber yang paling sering terjadi di Indonesia. Sedikitnya 17 serangan ransomware disertai publikasi data sensitif terjadi sepanjang 2023.

Ke depan, ransomware diprediksi akan terus terjadi seiring perkembangan metode serangan. Laporan Risiko Global World Economic Forum menyebutkan sekitar 85 persen Pemimpin Komunitas Keamanan Siber menekankan ransomware akan semakin berbahaya dan menimbulkan ancaman besar bagi keamanan siber.

Hal ini tak lepas dari kerja sama yang dilakukan di antara pelaku penyerangan untuk memperbesar peluang keberhasilan mereka.

Situasi ini diperparah dengan fenomena RaaS (ransomware as a service) yang memungkinkan orang awam tanpa skill peretasan menjalankan serangan dengan membeli software ransomware untuk menjalankan niatnya.

Di saat yang sama, skema serangan ransomware juga dilakukan berlapis di mana pemerasan berlanjut, meskipun korban telah membayar tebusan awal.

Sebagai contoh, dalam serangan ransomware ganda (double extortion attack), pelaku kejahatan siber tak hanya mengenkripsi data atau berkas milik target, tetapi mengambil serta mentransfer data secara ilegal untuk kemudian mengancam menyebar atau menjual informasinya ke situs gelap demi mendapatkan tebusan tambahan.

Pada skema triple extortion attack, pelaku menyisipkan Distributed Denial-of-Service (DDoS) ke dalam server sehingga menyebabkan simulasi peningkatan traffic yang dramatis melebihi kapasitas server.

Hal ini membuat situs web mengalami kegagalan (down) dan secara strategis menciptakan tekanan tambahan agar korban segera memenuhi permintaan.

Dalam tahap lebih rumit, pelaku bahkan dapat langsung menghubungi pihak yang terkait korban, seperti pelanggan, mitra, dan lainnya, menggunakan panggilan suara internet (voice over internet protocol/VoIP) guna memaksa korban membayar tebusan.

Pendekatan ini dimaksudkan untuk secara bersamaan memaksa pembayaran dan membangun landasan bagi skenario quadruple extortion.

Memasukkan kekuatan kecerdasan buatan (artificial intelligence/AI) generatif ke dalam skenario ini menciptakan gambaran yang lebih suram.

Dengan sistem AI yang canggih, penyerang siber dapat menghasilkan suara sintetis dan membuat percakapan yang meniru orang sungguhan secara meyakinkan.

Kemampuan ini dapat dipakai untuk lebih menipu pihak-pihak terafiliasi dengan cara meniru suara korban atau personel kunci lainnya.

Dengan mengintegrasikan teknik AI generatif, penyerang dapat menciptakan skema phishing suara yang sangat nyata, memperkuat tekanan pada korban, dan meningkatkan peluang pembayaran tebusan.

Kekuatan Artificial Intelligence

Metode serangan ransomware yang berkembang pesat perlu direspons secara efektif oleh tim keamanan siber organisasi. Penggunaan teknologi AI berperan penting memperkuat keamanan siber.

Kombinasi metode tradisional dengan analisis perilaku berbasis AI memungkinkan sistem keamanan siber organisasi lebih adaptif dan responsif terhadap serangan yang muncul.

Melalui sistem berbasis perilaku, tim keamanan siber dapat mendeteksi dan menghentikan serangan lanjutan yang menembus sistem tradisional.

Mereka juga mampu mendeteksi secara dini upaya penyusupan dan memerangi serangan ransomware secara lebih efektif.

Selain itu, analisis siber dan model deteksi berbasis perilaku yang didukung AI memungkinkan tim keamanan siber mendeteksi aktivitas penyerang di seluruh tahapan rantai serangan siber ransomware (ransomware cyber kill chain).

Berikut adalah beberapa contoh spesifik tentang bagaimana pertahanan siber yang didukung AI dapat mengatasi serangan ransomware di berbagai tahap rantai serangan siber.

Pertama, tahap akses awal. Pada tahap ini, penyerang siber sering memakai teknik phishing dengan menyisipkan muatan berbahaya ke dalam sistem target untuk memanipulasi dan memperoleh informasi sensitif atau mengelabui karyawan agar memberikan kredensial melalui domain-domain palsu. Muatan ini terdiri dari link yang mengarahkan target ke situs web atau domain berbahaya.

Ada dua jenis phishing yang umum digunakan, yakni typosquatting dan homoglyph. Serangan typosquatting menargetkan pengguna internet yang salah mengetik alamat situs web dengan mengarahkan mereka ke situs palsu yang dibuat semirip mungkin dengan aslinya.

Biasanya, serangan ini menyasar situs-situs populer. Misalnya, twitterr.com (palsu) sebagai pengganti twitter.com (asli) atau goggle.com (palsu) yang menggantikan google.com (asli).

Di sisi lain, homoglyph menjerat pengguna internet ketika salah mengklik hyperlink berbahaya yang terlihat sama secara visual dengan aslinya.

Misalnya, àpple.com (palsu karena mengandung karakter homoglyph à) dengan apple.com (asli karena semua dalam huruf latin normal).

Kedua teknik phishing ini bisa diatasi dengan metode deteksi yang memanfaatkan kemampuan mesin AI guna mencegah serangan ke tahap yang lebih serius.

Kedua, tahap komando dan kontrol (C2). Selama fase ini, muatan berbahaya berhasil masuk ke sistem target dan menggunakan teknik Algoritma Pembuatan Domain (Domain Generation Algorithm/DGA) untuk menghindari kebutuhan akan IP C2 statis atau nama domain.

DGA adalah teknik populer yang digunakan oleh penjahat siber untuk menghasilkan nama domain yang tidak dapat diprediksi agar komunikasi C2 dapat terhindari dari deteksi.

Korban dapat menggunakan teknik deteksi DGA untuk mengidentifikasi perangkat yang berpotensi disusupi dan mengandung karakteristik DGA dengan menganalisis nama domain dan waktu kemunculannya.

Sebagai bagian dari Tahap C2, para penyerang juga dapat mencoba berkomunikasi dengan server C2 melalui saluran DNS setelah malware yang diinstal menguasai perangkat atau jaringan target.

Tim keamanan siber dapat memanfaatkan metode deteksi tunneling Domain Name System (DNS) untuk mengidentifikasi lalu lintas transfer data DNS dua arah dalam query string DNS, khususnya dalam skenario saat penyerang mengambil kendali domain (alamat situs web) dan server otoritatif (server khusus yang dapat dikonfigurasi untuk mengarahkan alamat situs web ke alamat IP yang benar).

Analisis cyber berbasis AI dapat mendeteksi penggunaan teknik DNS Tunneling yang berbahaya dari pihak yang sah, sehingga akan mengurangi tingkat positif palsu (false positive).

Deteksi cepat atas aktivitas berbahaya ini membantu organisasi memberi respons yang efektif dan tepat waktu demi menghilangkan ancaman sebelum para pelaku melakukan transfer data dan pengambilalihan perintah dan kendali.

Ketiga, tahap eksfiltrasi data. Ini biasanya merupakan tahap terakhir dalam serangan ransomware di mana penyerang mentransfer data dari korban keluar dari jaringan organisasinya, terutama dalam skenario serangan berlapis.

Tim keamanan siber dapat mendeteksi lalu lintas DNS satu arah dengan menggunakan analisis siber berbasis AI ketika penyerang mengambil alih server resmi untuk mengekstrak informasi penting melalui sub-domain.

Mereka juga dapat menggunakan model deteksi pencurian email untuk menganalisis perilaku pada setiap email/mailbox dalam organisasi.

Tujuannya untuk mendeteksi anomali dan menandai email mencurigakan yang menunjukkan potensi tanda-tanda pencurian.

Protokol keamanan siber

Lantas apa yang harus dilakukan organisasi agar tetap bisa menjadi yang terdepan dalam keamanan siber?

Pertama, organisasi harus meningkatkan dan memperkuat kemampuan mereka untuk melakukan deteksi dini dan memutus rantai pembunuhan siber yang dilakukan para penyerang.

Organisasi tidak boleh hanya bergantung sepenuhnya kepada jaminan perlindungan siber atau pembayaran tebusan.

Kedua, implementasi hak perlindungan dan pengelolaan data yang ketat untuk melindungi data-data sensitif.

Peninjauan reguler dan komprehensif terhadap data penting diperlukan untuk memastikan serangan ransomware yang terjadi memiliki dampak minimal bagi bisnis.

Ketiga, mengadopsi prinsip zero-trust, yakni kewajiban verifikasi pada semua pihak tanpa terkecuali sebelum mengakses sistem dan strategi validasi berkelanjutan di luar proses pertahanan tradisional yang dijalankan.

Hal ini untuk membatasi dampak serangan ransomware dan memastikan sistem hanya bisa diakses sesuai kebutuhan yang sudah terverifikasi.

Terakhir, manfaatkan kekuatan analisis siber yang didukung AI dalam pertempuran melawan serangan ransomware. Dengan mengikuti semua langkah ini, sistem keamanan siber suatu organisasi akan menjadi lebih kuat.