Mengenal Ransomware dan Pencegahannya

Beberapa waktu lalu di tahun 2017 ini, dunia teknologi informasi digemparkan dengan munculnya ransomware. Para pengguna teknologi informasi geger karena komputer mereka ataupun data mereka tidak bisa diakses. Lebih resah lagi ketika gangguan ini disertai peringatan untuk membayar tebusan agar komputer dan data mereka bisa diakses kembali. Itulah fenomena ransomware.

Malware dan Ransomware

Ransomware adalah salah satu jenis malware sehingga penting bagi kita untuk mengetahui apa itu malware. Malware adalah kependekan dari malicious software, yaitu perangkat lunak yang dirancang sedemikian rupa untuk menyebabkan kerusakan pada suatu komputer, server atau jaringan komputer, baik berupa virus, spyware atau semisalnya. Dengan demikian, istilah malware ini sangat luas mencakup virus, spyware, adware, dan juga ransomware. Selama perangkat lunak ditujukan untuk merusak dan mengganggu suatu sistem, ia termasuk malware.

Ransomware adalah malware yang dirancang untuk mencegah akses pada suatu sistem sampai uang tebusan (ransom) dibayarkan. Ransomware adalah salah satu bentuk malware karena sifatnya memberikan gangguan dan kerugian pada pengguna. Ciri khusus ransomware dari malware yang lain adalah permintaan tebusan (atau semisalnya) dari penebar ransomware untuk membebaskan pengguna dari ransomware.

Apakah ransomware itu termasuk virus? Bisa ya, bisa juga tidak. Suatu malware disebut virus jika ia punya kemampuan untuk menyebarkan dirinya dari satu file ke file lain, atau dari satu komputer ke komputer lain, tanpa sepengetahuan pengguna komputer.

Sejarah Ransomware

Ransomware diyakini mulai ditemukan pada tahun 1989, berupa AIDS Info Disk Trojan atau disebut juga PC Cyborg Trojan (PCT) yang dibuat oleh Dr. Joseph Popp, seorang ahli biologi dengan gelar doktor dari Universitas Harvard. PCT menjangkiti data yang disimpan ke floppy disk (disket) 5,25 inci. Setiap kali disket tersebut diakses, PCT mengganti file autoexec.bat di komputer korban dan ia akan memantau booting yang dilakukan komputer tersebut. Ketika booting sudah mencapai hitungan 90 kali sejak terjangkit PCT, ia akan menyembunyikan semua direktori dan mengenkripsi semua file, serta meminta tebusan sebesar 189 dolar yang harus dibayarkan ke PC Cyborg Corporation di Panama via pos. 

Gambar 1 : Permintaan Tebusan dari AIDS Info Disk Trojan atau PCT

Sejak saat itu setidaknya ada 23 kasus ransomware yang mencuat ke publik hingga sekarang. Di antaranya yang paling terkenal adalah CryptoLocker yang muncul 2 kali di tahun 2013, dan CryptoWall yang muncul 4 kali di tahun 2014 dan 2015 (tiga kali). Negara yang paling banyak terdampak oleh kemunculan ransomware adalah: Amerika Serikat, Jepang, UK, Italia, Jerman dan Rusia. Tahun 2015 adalah tahun serangan ransomware termasif dalam catatan sejarah.

Jenis-jenis ransomware

Ransomware secara umum ada 2 jenis:

1. Locker ransomware,yaitu ransomware yang mengunci akses pengguna ke sistem atau perangkat. Jadi, locker ransomware melakukan aksi penguncian pada file atau perangkat komputer, lalu meminta tebusan uang agar penguncian tersebut dibuka. Terkadang yang dikunci adalah file atau perangkat lunak. Namun, terkadang yang dikunci adalah fungsi-fungsi hardware, seperti tidak dapat berfungsinya beberapa atau seluruh tombol keyboard dan mouse, atau yang semisalnya. Ransomware jenis ini memiliki tingkat gangguan yang lebih rendah dan lebih mudah ditangani karena sifatnya hanya penguncian. Ketika ia bisa dibersihkan dan ditangani, dengan menghapus skrip-nya atau cara lain, selesailah masalahnya, sehingga tingkat ancaman dari ransomware jenis ini rendah. Uang tebusan yang masuk pun lebih sedikit. 

2. Crypto ransomware, yaitu ransomware yang menghalangi penggunauntuk mengakses file atau data, baik dengan enkripsi file atau metode lain. Ransomware jenis ini dirancang untuk mencari data yang berharga di komputer, kemudian membuat data tersebut tidak bisa diakses. Banyak orang yang tidak sempat mem-backup datanya dan tidak menyadari ancaman yang bisa terjadi pada data tersebut. Inilah kelemahan yang diincar oleh crypto ransomware. Dengan tingkat kerugian dan gangguan yang ditimbulkan, ransomware jenis ini menjadi momok. Semakin penting dan urgen data yang dimiliki pengguna, semakin besar risiko bahaya yang ditimbulkan. Oleh karena itu, pengembang ransomware lebih banyak menebarkan ransomware jenis ini. Semakin tinggi tingkat ancaman, semakin besar probabilitas tebusan dibayarkan dan semakin besar keuntungan.

Metode serangan ransomware

Sebagaimana malware umumnya, ransomware menyerang dengan menggunakan trojan yang disamarkan menjadi file atau aplikasi tidak berbahaya, kemudian penggunakan melakukan suatu aksi pada trojan tersebut, baik berupa download (unduh) atau membukanya. Namun, ada tiga metode yang paling sering digunakan penebar ransomware:

1. Exploit

Exploit adalah suatu peralatan yang digunakan untuk mencari vulnerability (kelemahan sistem), sehingga ketika kelemahan telah ditemukan, penebar ransomware bisa menggunakan kelemahan tersebut untuk menyisipkan ransomware. Biasanya malicious code yang ditanam di sebuah situs web (biasanya berupa iklan), ketika diakses, akan melakukan redirect ke halaman yang membuat pengguna mengunduh exploit.

2. Lampiran email

Penebar ransomware membuat email yang terkesan bisa dipercaya. Contohnya adalah tawaran pekerjaan, newsletter informasi IT, email dari lembaga sosial dan semacamnya yang dalam email tersebut dilampirkan file yang executable seperti .exe, .doc, .js, .msi, .ppt, atau yang lainnya, padahal ia mengandung ransomware. Ketika lampiran tersebut dibuka atau diunduh, ransomware secara tersembunyi sedang diinfeksikan ke komputer.

3. Link(tautan) dalam email

Seperti metode lampiran email, penebar ransomware dengan metode tautan membuat email yang terkesan bisa dipercaya. Namun, email itu mengandung tautan yang sangat menarik untuk diklik atau bahkan memang isi email memerintahkan pengguna mengklik tautan tersebut. Ketika diklik, URL dari tautan tersebut sejatinya mengunduh file yang mengandung ransomware dan menginfeksi komputer.

Selain tiga metode ini, mereka juga menggunakan metode-metode lain yang umumnya digunakan untuk menyebarkan malware seperti: email spam, SMS spam, software downloader, bisnis afiliasi, social engineering, dan juga melalui penetrasi.

Bagaimana penyebar ransomware diuntungkan?

Penyebar ransomware mendapatkan keuntungan dari uang tebusan (ransom). Namun, bagaimana penebar ransomware bisa mendapatkan tebusan mereka dengan aman dan lancar? Andai mereka menampilkan rekening bank tentu dengan mudah dilaporkan dan langsung diblokir oleh bank yang bersangkutan. Mereka tidak kehabisan akal, ada banyak cara untuk menjamin uang tebusan sampai ke tangan mereka dengan aman.

AIDS Info Trojan, ransomware pertama, menggunakan metode pengiriman cek ke sebuah kotak surat di Panama. Trojan Ransomlock, ransomware yang merajalela di tahun 2009 menggunakan metode pembayaran wire transfer, sedangkan ransomware di tahun-tahun setelahnya umumnya menggunakan Paysafecard, MoneyPak, UKash, CashU, MoneXy. Bahkan sebagian ransomware yang ada sekarang masih menggunakan sebagian metode pembayaran ini.

Kemunculan Bitcoin di tahun 2009 mengubah cara pandang masyarakat tentang alat pembayaran digital. Pasalnya, Bitcoin adalah alat pembayaran yang terdesentralisasi. Artinya, ia tidak memiliki ketergantungan pada satu pihak. Sebagaimana rekening bank yang Anda miliki, ia tersentralisasi pada bank tersebut. Ketika bank tersebut memblokir rekening, Anda tidak bisa melakukan apa-apa. Namun, tidak demikian dengan Bitcoin. Bitcoin menggunakan basis data yang didistribusikan ke nodes dari jaringan peer-to-peer ke jurnal transaksi. Bitcoin juga menggunakan kriptografi untuk menyediakan fungsi-fungsi keamanan dasar, seperti untuk memastikan bahwa ia hanya bisa oleh orang memilikinya. Maka, Bitcoin adalah alat pembayaran sempurna untuk meminta tebusan dari ransomware!

Ransomware yang berkembang belakangan ini hampir semuanya menggunakan Bitcoin untuk menarik tebusan. Pertanyaannya, bagaimana korban bisa mengirim Bitcoin sedangkan komputer mereka terkena ransomware dan tidak bisa diakses? Penebar ransomware sudah mengakomodasi hal ini. Ransomware sengaja tidak mematikan fungsi-fungsi networking dari komputer sehingga korban tetap bisa mengirim Bitcoin, bahkan penebar ransomware juga memberi “fasilitas” bagi korbannya untuk mencari tahu apa itu Bitcoin dan menonton video tutorial Bitcoin. Luar biasa!

Gambar 2 : Permintaan tebusan dengan Bitcoin

Pertanyaan selanjutnya, katakanlah mereka mendapatkan banyak Bitcoin, lalu bagaimana mereka mencairkannya?

Pertama, sebagaimana sudah disebutkan, bahwa Bitcoin itu terdesentralisasi, menggunakan basis data terdistribusi, menggunakan enkripsi untuk verifikasi kepemilikannya, dll. ini semua membuat Bitcoin memungkinkan untuk dimiliki secara anonim! Bitcoin juga dapat disimpan di komputer pribadi dalam sebuah format file wallet atau disimpan oleh sebuah layanan wallet pihak ketiga. Terlepas dari semua itu, Bitcoin dapat dikirim lewat internet kepada siapapun yang mempunyai sebuah alamat Bitcoin. Topologi peer-to-peer Bitcoin dan kurangnya administrasi tunggal membuatnya tidak mungkin untuk otoritas, pemerintahan apapun, untuk memanipulasi nilai dari Bitcoin atau menyebabkan inflasi dengan memproduksi lebih banyak Bitcoin.

 

Kedua, para penebar ransomware biasanya melakukan Bitcoin-laundering, yaitu dengan mentransfer bitcoin mereka melalui beberapa block transfer wallets, kemudian menambahkan beberapa layer dalam prosesnya untuk mengacak pola dan menghilangkan jejak. Atau, mereka bisa memanipulasi sebuah pekerjaan online yang darinya mereka mendapatkan uang tunai. Tentunya ini membuat orang sulit memisahkan dan membedakan mana transaksi yang sebenarnya dengan Bitcoin-laundering.

Gambar 3 : Transaksi Bitcoin

Bagaimana cara mencegah ransomware?

Salah satu cara efektif untuk menghadapi ancaman ransomware adalah dengan mencadangkan data secara reguler. Namun, ransomware terbaru dikabarkan tidak hanya mengenkripsi file, tetapi juga mengenkripsi Windows system restore points. Oleh karena itu, sebaiknya backup data atau restore points disimpan pada sistem terpisah yang tidak terakses oleh jaringan sehingga secara efektif dapat mengembalikan data jika terserang ransomware.

Cara lain dalam mencegah serangan ransomware di antaranya dengan langkah-langkah berikut:

1. Mengedukasi karyawan tentang dasar-dasar keamanan komputer terutama tentang malware, cara penyebarannya,dan cara pencegahannya
2. Memperketat batasan (restriction) pada sistem. Dengan membatasi akses pada data-data dan aplikasi, menentukan role dan password, eksekusi kode ransomwaredapat dihambat agar tidak menyebar ke sistem.
3. Mengurangi jumlah pengguna yang memiliki peran sebagai administratordan membatasi aksesnya. Sebagian ransomware didesain untuk menyerang akun administrator dalam melakukan aksinya. Dengan mengurangi akun administrator, ini akan menghambat laju penyebarannya dan mengurangi probabilitas sistem terjangkiti ransomware.
4. Maintenancedan update berkala perangkat lunak. Perangkat lunak yang up-to-date akan lebih memiliki kekebalan dan tingkat keamanan yang lebih baik dalam menghadapi gangguan terhadap malware. Utamanya adalah perangkat lunak yang terkait dengan keamanan seperti antivirus, anti-malware, dan firewall.

Selain langkah-langkah di atas, kita perlu juga melakukan langkah-langkah pencegahan penyebaran ransomware pada tingkat sistem karena tentunya tidak mungkin 100% kita mencegah orang untuk membuka situs web dan email. Tugas ini perlu dilakukan oleh system administrator. Di antara langkah-langkahnya adalah:

1. Menggunakan piranti anti-malwareyang handal untuk mendeteksi dan memblok ransomware. Gunakan produk anti-malware yang selalu update terhadap perkembangan malware terbaru.
2. Menggunakan firewallyang melakukan whitelisting dan blacklisting pada lalu lintas data seringkali menjadi faktor suksesnya sistem tercegah dari malware secara umum.
3. Menerapkan email filtering yang ketat yang bisa menyaring spamdan email yang berpotensi membawa malware.
4. Memblokir attachment. Ini kebijakan yang besar,tetapi patut untuk dipertimbangkan demi keamanan dan stabilitas perusahaan. Ransomware sering kali menyerang melalui attachment dari email melalui executable files, macro, atau skrip tersembunyi. Tidak hanya malware, potensi serangan virus juga mengintai. Pengiriman data bisa digantikan dengan menggunakan sistem informasi atau media lain yang lebih aman.
5. Meniadakan localadministrator. Meniadakan peran admin pada komputer individu dapat mengurangi risiko penyebaran ransomware yang umumnya membutuhkan akses untuk mengubah sistem dan direktori juga registry dan storage. Meniadakan local administrator juga bisa mencegah akses ilegal untuk mengubah resource yang kritis dan files yang penting.
6. Memberikan batasankepada user untuk kapabilitas melakukan aksi write ke sistem, membatasi user directory, membuat whitelist untuk aplikasi-aplikasi yang digunakan, membatasi akses ke jaringan atau storage.

Ketika terkena serangan ransomware

Jika Anda merasa terkena serangan ransomware, beberapa aksi berikut ini semestinya dilakukan:

1. Ambil snapshot (gambar layar) dari komputer Anda, baik menggunakan aplikasi pengambil snapshot jika memungkinkan, atau menggunakan smartphone atau kamera. Ini akan membantu untuk analisis lebih lanjut mengenai attack vector (metode penyerangan), mengetahui jenis ransomware yang menyerang, dan tentunya mencari solusi dari serangan tersebut.
2. Matikan komputer untuk mencegah penyebaran lebih luas dan kerusakan yang tidak diinginkan pada sistem.
3. Berusaha megenali metode penyerangan, apakah melalui tautanpada email, exploit yang diselipkan pada web, lampiran email, atau aplikasi yang dieksekusi, atau metode lainnya.
4. Blokir semua akses kepada jaringan, komputer lain atau server yang belum terjangkiti ransomwareuntuk mencegah penyebaran lebih luas.
5. Beritahukan atasan Anda untuk melakukan investigasi lebih lanjut atau langkahnya nyata untuk menangani masalah ini.

Penutup

Ransomware adalah momok dalam dunia digital dan mulai menjadi-jadi di beberapa tahun terakhir ini karena sifatnya yang tidak hanya memberikan gangguan, tetapi juga meminta tebusan kepada korbannya. Namun, dengan mengenal cara kerjanya serta metode-metode yang digunakan para penyerang dan menerapkan langkah-langkah preventif, kita dapat mengurangi bahkan menghilangkan risiko terkena serangan ransomware.

Semoga bermanfaat.

***

---

Penulis: Yulian Purnama, S.Kom.

Referensi:

• Defining Malware: FAQ, Microsoft Technet, [URL]

• Ransomware, Holding Your Data Storage. Deloitte Threat Intelligence and Analytics, hal. 2, [PDF]

• The Evolution of Ransomware. Kevin Savage, Peter Coogan, Hon Lau. Symantec. hal. 5, [PDF]

• Ransomware common attack methods, Palo Alto Insights. [PDF]

• Bitcoin. Wikipedia. https://id.wikipedia.org/wiki/Bitcoin

• Ransomware: Best Practices for Prevention and Response,, SEI Insights. [URL]