Penanganan dan Pencegahan Insiden Ransomware

Ransomware merupakan jenis malicious software tertentu yang menuntut tebusan finansial dari seorang korban dengan melakukan penahanan pada aset atau data yang bersifat pribadi. Kegiatan penyebaran ransomware dilakukan oleh penyerang atau Threat Actor dengan tujuan utama adalah finansial, oleh karenanya Threat Actor menjadikan data pribadi sebagai ancamannya.

1. Pendahuluan

Ransomware merupakan sebuah nama dari kelas malware yang terdiri dari dua kata, ransom (tebusan) dan malware, yang bertujuan untuk menuntut pembayaran untuk data / informasi pribadi yang telah dicuri, atau data yang aksesnya dibatasi (enkripsi). Saat ini, malicious software telah melakukan diversifikasi (usaha memperoleh keuntungan) dengan cara mereka memeras uang dari korban. Orang dapat berargumen bahwa ransomware adalah bentuk pemerasan sederhana yang digunakan untuk pemerasan secara massal, disebarkan ke banyak pengguna dan dibuat lebih efisien dengan memanfaatkan Cryptocurrency untuk anonymity sebuah transaksi. 

Munculnya ransomware telah menjadi sebuah epidemi secara global karena hal tersebut terus memakan banyak korban di seluruh dunia, memaksa perusahaan untuk memutuskan antara mencoba memulihkan data dari cadangan (dan berpotensi kehilangan data penting sejak cadangan terakhir) dan membayar sejumlah besar tebusan kepada peretas. Ransomware telah menjadi berita utama baru-baru ini dengan mengumpulkan korban yang terkenal, termasuk rumah sakit Los Angeles, dan dua rumah sakit Jerman. Dari CryptoLocker, Locky, dan Kovter, hingga serangan baru-baru ini yang memanfaatkan CryptXXX, dan Petya. Pada tahun 2017, Rumah Sakit Kanker Dharmais dan Rumah Sakit Harapan Kita, Jakarta terkena ransomware Wannacry yang mengakibatkan beberapa database pasien pada komputer tidak dapat diakses. Malware bermodus menyandera data dan meminta tebusan uang itu telah mengunci sistem dan data pasien dengan meminta uang Rp 4 juta sebagai tebusan.

Gambar 1. Tahapan Serangan Ransomware

Berdasarkan gambar 1, serangan ransomware diawali dengan “malware arrival” ditandai adanya aktivitas dari pengguna baik melakukan klik sebuah malicious links atau malicious software. Setiap malware yang telah diklik, akan secara otomatis melakukan koneksi ke C2C (Command and Control) yang merupakan pusat kegiatan malicious software untuk melakukan pengiriman perintah (Command) dan melakukan kontrol pada victim (Control). Pada tahap koneksi ke C2C, malware akan melakukan unduh file pendukung lainnya untuk dapat melakukan serangan lebih dalam lagi. Selanjutnya, malware akan mencari file penting untuk dapat melakukan pencurian atau target penguncian file. Setiap file yang menjadi target, akan dilakukan enkripsi dan akan memunculkan sebuah file note yang berisi alamat email penyerang beserta nomor rekening pembayaran untuk dapat melakukan dekripsi file yang terkunci. Dengan demikian, penyerang akan memberikan mekanisme dekripsi file jika pembayaran sudah dilakukan. Namun, hal tersebut tidak dapat dipastikan karena beberapa pengguna yang terkena ransomware dan melakukan pembayaran, penyerang tidak memberikan informasi ini.

2. Jenis Ransomware

Berdasarkan jurnal Mihail Anghel dan Andrei Racautanu pada tahun 2019 yang berjudul “A note on different types of ransomware attacks” jenis ransomware dikategorikan menjadi 4 (empat) yaitu :

  1. Encrypting Ransomware

Jenis ransomware ini, setelah dijalankan, secara diam-diam akan melakukan pencarian dan mengenkripsi file penting di sistem komputer korban. Setelah langkah pertama selesai, sebuah pesan ditampilkan kepada pengguna yang meminta tebusan dan untuk mengembalikan file yang terkunci (enkripsi). Instruksi rinci disajikan kepada pengguna, bahkan informasi kontak baik telepon maupun email disediakan. Setelah tebusan dibayarkan, korban akan diberikan kunci atau kode untuk dekripsi file, yang dapat dijalankan khusus untuk mendekripsi file di sistem komputer korban. Contoh dari encrypting ransomware adalah CryptoWall, CryptoLocker, WannaCry dan Locky.

  1. Non-Encrypting Ransomware

Beda halnya dengan Ransomware jenis Encrypting, Ransomware jenis non-encrypting melakukan penguncian akses pengguna ke sebuah sistem komputer tanpa melakukan enkripsi pada sistem file dan menampilkan pesan penyerang untuk menuntut sebuah tebusan (ransom) atau meminta tindakan pengguna yang membutuhkan uang untuk membuka kunci. Untuk membuat pengguna membayar uang tebusan, beberapa threat actor meminta korbannya. untuk diberikan pembayaran di awal dengan meminta pengguna untuk menghubungi nomor telepon tertentu. Contoh ransomware ini adalah Winlocker dan Reveton.

  1. Leakware (Doxware)

Jenis ransomware ini berbeda dari yang sebelumnya di atas karena mereka tidak memblokir akses ke sistem komputer korban atau informasi apa pun yang disimpan di dalamnya. Namun sebaliknya, secara diam-diam mengumpulkan informasi sensitif dari sistem komputer dan menggunakannya untuk melakukan blackmail atau black campaign korban. Informasi yang dikumpulkan disimpan di server atau mesin lain yang terinfeksi dan penyerang mengancam korban bahwa data akan dipublikasikan jika pembayaran tidak dilakukan.

  1. Mobile Ransomware

Ransomware ini menargetkan perangkat seluler (ponsel, tablet, dll) dan mengincar data sensitif pengguna perangkat. Threat actor melakukan pembatasan akses dari pengguna ke data korban, dan hanya muncul informasi mengenai detail yang harus dibayarkan beserta informasi penyerang pada perangkat korban.

3. Penanganan Insiden Siber Ransomware

Dalam melakukan penanganan insiden siber ransomware, perlu dilakukan penelusuran terkait penyebab malicious software (malware) yang mengakibatkan terkuncinya data pengguna. Kegiatan penelusuran insiden siber dapat dilakukan sesuai dengan tahapan sebagai berikut :

Gambar 2. Fase Penanganan Insiden Ransomware.

a) Fase Persiapan

Tahap ini adalah tahap dimana kebijakan, prosedur,teknologi, dan sumber daya manusia harus disiapkan secara matang, dimana akan digunakan pada proses penanganan terhadap insiden. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi penanganan insiden siber ransomware.

Langkah yang dapat diambil, sebagai berikut :

  1. Mempersiapkan tim tanggap insiden siber yang dapat berasal dari internal atau eksternal organisasi;
  2. Mempersiapkan dokumen pendukung untuk melakukan penanganan insiden, misalkan dokumen prosedur penanganan insiden, dokumen kebijakan penggunaan laptop/pc, antivirus, backup;
  3. Melakukan koordinasi dengan pihak terkait, misalkan tim aplikasi, tim infrastruktur, tim pakar, atau tim tanggap insiden lainnya (CSIRT) yang mendukung dalam penanganan insiden siber;
  4. Menyiapkan tools yang dapat berupa License Tools, Open Source Tools, sumber terbuka lainnya. Tools yang dapat digunakan untuk melakukan analisis misalkan Process Explorer (https://download.sysinternals.com/files/ProcessExplorer.zip) dan Autoruns (https://download.sysinternals.com/files/Autoruns.zip). Beberapa website yang menyediakan informasi mengenai serangan ransomware beserta teknik mitigasi atau menyediakan decryption tools : https://nomoreransom.org, https://blog.emsisoft.com.

b) Fase Identifikasi dan Analisis

Melakukan identifikasi dan analisis terhadap sistemt erdampak guna mendapatkan akar permasalahan dari insiden yang terjadi. Langkah yang dapat dilakukan :

  1. Melakukan identifikasi jenis ransomware untuk melakukan analisis lebih lanjut. Adapun langkah-langkah yang dilakukan sebagai berikut :
    • Temukan pesan yang disampaikan oleh aplikasi Ransomware (README File). Dalam file pesan tersebut berisi mengenai alamat email penyerang, string pesan dari malware tersebut;
    • Temukan jenis ekstensi dari file yang terkena insiden siber ransomware (misalkan *.crypt, *.cry, *.locked, dst);
    • Gunakan file Readme, Email Penyerang, dan Sampel File yang terkena insiden untuk mendapatkan jenis Ransomware melalui sumber terbuka misalkan https://nomoreransom.org atau https://blog.emsisoft.com.
Gambar 3. Informasi jenis ransomware melalui sumber terbuka.
  1. Memeriksa apakah antivirus berfungsi normal atau tidak. Hal ini karena ada malware yang dapat menghancurkan instalasi antivirus dengan merusak executable file, mengubah kunci registri atau merusak file definisi, maupun menonaktifkan update dari signature suatu file.
  2. Melakukan identifikasi dan analisis pada environment sistem terdampak guna mencari persistent mechanism penyerang atau artefak digital hasil penyerangan yang dilakukan. Proses yang dilakukan adalah sebagai berikut :
    • Identifikasi dan analisis proses berjalan, misalkan menggunakan tools Process Explorer untuk melakukan identifikasi Malicious Process yang sedang berjalan di sistem komputer. Aplikasi Process Explorer dapat secara langsung diaktifkan terkoneksi pada VirusTotal.com untuk dilakukan Process Scanning dengan antivirus yang terdaftar;
Gambar 4. Interface Process Explorer.
  • Identifikasi dan analisis jaringan komunikasi menggunakan tools Netstat untuk melakukan identifikasi Malicious Connection baik dengan status Listening, Established, SYN_SENT.
Gambar 5. Interface Netstat
  • Identifikasi dan analisis registry, aplikasi startup, layanan terjadwal, browser history dengan menggunakan Tools Autoruns untuk melakukan identifikasi Malicious Activity dan Persistent Mechanism pada sistem terdampak;
Gambar 6. Interface Autoruns Tools.
  • Identifikasi dan analisis sistem log untuk mencari history penyerang dalam melakukan serangan pada sistem.
  1. Melakukan identifikasi dan analisis pada sistem jaringan komunikasi untuk mengetahui Lateral Movement dari penyerang dengan melakukan implementasi daftar indikasi kebocoran (indicator of compromise) pada perimeter keamanan seperti Firewall, Network IDS, Host IDS.

c) Fase Penahanan

Tahap ini bertujuan untuk mencegah penyebaran Ransomware. Prosedur yang dilakukan pada tahap penahanan adalah sebagai berikut :

  1. Melakukan isolasi sistem terdampak agar insiden siber ransomware tidak menyebar melalui jaringan misalkan dengan menutup akses ke jaringan.
  2. Mengubah konfigurasi routing table pada Firewall untuk memisahkan sistem yang terinfeksi dengan sistem lainnya. 
  3. Melakukan backup data pada sistem yang terdampak. 
  4. Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran serangan. Jika terdapat kemiripan, maka sistem tersebut juga harus dilakukan proses penahanan.

d) Fase Penghapusan

Tahap ini merupakan tahapan dimana beberapa teknik yang berbeda-beda digunakan untuk melakukan analisa terhadap malware dan menghapus malware dari sistem yang telah terinfeksi. Proses-proses yang dilakukan dalam tahap ini adalah sebagai berikut :

  1. Menghentikan proses yang terindikasi merupakan Malicious Process;
  2. Menghapus autostart process yang mencurigakan dari hasil analisa aplikasi autostart;
  3. Jika terdapat useruser yang dibuat oleh malware, maka hapus useruser yang tidak dikenali tersebut untuk menghindari masuknya kembali malware melalui user yang tidak dikenal tersebut;
  4. Setelah program malware dihapus dan malicious process di kill process, lakukan full scanning terhadap sistem menggunakan signature antivirus yang sudah diperbaharui.

e) Fase Pemulihan

Tahap pemulihan merupakan tahap mengembalikan sistem terdampak pada kondisi normal seperti semula. Proses yang dilakukan adalah sebagai berikut :

  1. Melakukan dekripsi file yang terkena dampak dengan menggunakan decryption tools yang tersedia;
  2. Melakukan validasi sistem untuk memastikan sudah tidak ada aplikasi atau file yang rusak atau terinfeksi. Begitu pula kesalahan atau kekurangan konfigurasi sistem untuk kemudian disesuaikan kembali;
  3. Melakukan aktivitas monitoring untuk memantau lalu lintas jaringan yang terhubung;
  4. Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting hilang, menyebabkan kegagalan booting pada sistem operasi), maka sistem dibangun ulang dari file backup terakhir sistem yang dimiliki;
  5. Melakukan update/patching Sistem Komputer dan Antivirus

f) Fase Tindak Lanjut

Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk masa mendatang. Prosedur yang dapat dilakukan adalah sebagai berikut:

  1. Membuat dokumentasi dan laporan terkait penanganan insiden siber ransomware, yang berisi langkah-langkah dan hasil yang telah didapatkan. 
  2. Memberikan analisa dan penjelasan apa yang harus dilakukan, sehingga meminimalisir insiden serupa tidak terulang kembali. 
  3. Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses hukum kedepannya. 
  4. Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat diberikan diantaranya: 
  5. Peningkatan pengetahuan tentang penanganan insiden Ransomware, misalnya melalui pelatihan, cyber exercise.
  6. Implementasikan sistem monitoring untuk pendeteksian dini serangan ataupun insiden siber.
  7. Meningkatkan pertahanan sistem
  8. Melakukan penyempurnaan prosedur penanganan insiden siber berdasarkan insiden siber yang terjadi.

4. Pencegahan Insiden Ransomware

Untuk mencegah terjadinya insiden siber ransomware, berikut beberapa tips yang dapat dilakukan :

  1. Selalu pastikan komputer mendapatkan patch terbaru dan pembaruan terbaru

Untuk dapat memastikan sistem komputer mendapatkan patch terbaru dan pembaruan terbaru, perlu melakukan aktivasi fitur “Windows Update”. Fitur ini akan selalu memeriksa pembaruan terbaru pada pusat data sistem komputer Windows. Setiap pembaruan yang diterima akan dilakukan instalasi pada sistem komputer. Usahakan untuk melakukan backup sebelum melakukan pembaruan sistem guna mencegah adanya kerusakan atau eror pada saat melakukan instalasi pembaruan sistem;

Gambar 7. Fitur Windows Update.
  1. Melakukan scanning komputer menggunakan Anti-Virus dengan pembaruan terbaru

Anti-Virus yang tersedia secara default dari sistem komputer Windows adalah Windows Defender. Anti-Virus ini sangat membantu sistem komputer untuk mengetahui keberadaan aplikasi tidak dikenal atau mempunyai signature malware. Selalu pastikan melakukan scanning pada sistem dan melakukan update pembaruan pada Anti-Virus tersebut.

Gambar 8. Anti-Virus Windows Defender.
  1. Waspada pada setiap link yang diterima

Waspada akan adanya email spam yang mencantumkan sebuah link untuk di klik atau mengunduh sebuah file. Cek terlebih dahulu setiap link dengan menggunakan VirusTotal, untuk mendapatkan info bahwa link tersebut malicious atau tidak.

Gambar 9. Malicious Links.
  1. Selalu mengaktifkan firewall pada komputer

Windows Firewall merupakan salah satu elemen terpenting dari OS Windows. Fitur  Windows Firewall terus  ditingkatkan seperti mengontrol koneksi  keluar  dari  suatu  aplikasi  serta  user juga  mampu  mengatur  Windows  Firewall dengan cukup mudah. Program-program  pada Windows  ini  akan  secara  otomatis  membuat sebuah  Rules/Aturan  di  dalam  Windows Firewall  sehingga  program  tersebut  bisa melakukan  Update.

Gambar 10. Windows Firewall.
  1. Mengaktifkan fitur “safe browsing” pada peramban (browser) yang digunakan

Teknologi Safe Browsing Google dapat memeriksa miliaran URL per hari untuk mencari situs yang tidak aman. Setiap hari, Google menemukan ribuan situs baru yang tidak aman, yang sebagian besar merupakan situs sah yang telah disusupi. Jika mendeteksi situs yang tidak aman, Google akan menampilkan peringatan dan dapat menelusuri untuk melihat apakah situs saat ini berbahaya untuk dikunjungi.

  1. Lakukan backup file penting secara berkala

Lakukan backup sistem atau file penting secara berkala dengan melakukan backup pada media penyimpanan eksternal. Sehingga jika terjadi kerusakan data akan dapat dilakukan restore pada sistem terakhir melakukan backup.