VNDirect diserang: Seberapa berbahayakah Ransomware?

Kasus VNDirect dan Apa yang Membuat Ransomware Berbahaya?

Pada 24 Maret 2024, Perusahaan Sekuritas VNDirect di Vietnam menjadi titik panas terbaru dalam peta serangan ransomware internasional. Serangan ini bukanlah kasus yang terisolasi.

Ransomware, sejenis perangkat lunak berbahaya yang dirancang untuk mengenkripsi data di sistem korban dan meminta tebusan untuk mendekripsinya, telah menjadi salah satu ancaman keamanan siber paling luas dan berbahaya di dunia saat ini. Meningkatnya ketergantungan pada data digital dan teknologi informasi di segala aspek kehidupan sosial membuat organisasi dan individu rentan terhadap serangan ini.

Bahaya ransomware tidak hanya terletak pada kemampuannya mengenkripsi data, tetapi juga pada cara penyebarannya dan permintaan tebusan, menciptakan saluran transaksi keuangan yang memungkinkan peretas meraup keuntungan ilegal. Kecanggihan dan ketidakpastian serangan ransomware menjadikannya salah satu tantangan terbesar yang dihadapi keamanan siber saat ini.

Serangan VNDirect merupakan pengingat yang jelas akan pentingnya memahami dan mencegah ransomware. Hanya dengan memahami cara kerja ransomware dan ancaman yang ditimbulkannya, kita dapat menerapkan langkah-langkah perlindungan yang efektif, mulai dari mengedukasi pengguna, menerapkan solusi teknis, hingga membangun strategi pencegahan yang komprehensif untuk melindungi data dan sistem informasi penting.

Cara Kerja Ransomware

Ransomware, ancaman yang mengerikan di dunia keamanan siber, beroperasi dengan cara yang canggih dan beragam, menyebabkan konsekuensi serius bagi para korban. Untuk lebih memahami cara kerja ransomware, kita perlu mempelajari setiap langkah dalam proses serangan.

Infeksi

Serangan dimulai ketika ransomware menginfeksi sistem. Ada beberapa cara umum ransomware dapat masuk ke sistem korban, termasuk:

Email phishing: Email palsu dengan lampiran berbahaya atau tautan ke situs web yang berisi kode berbahaya; Memanfaatkan kerentanan keamanan: Mengambil keuntungan dari kerentanan dalam perangkat lunak yang tidak ditambal untuk secara otomatis menginstal ransomware tanpa interaksi pengguna; Malvertising: Menggunakan iklan internet untuk mendistribusikan malware; Unduhan dari situs web berbahaya: Pengguna mengunduh perangkat lunak atau konten dari situs web yang tidak tepercaya.

Enkripsi

Setelah terinfeksi, ransomware memulai proses enkripsi data di sistem korban. Enkripsi adalah proses mengubah data ke dalam format yang tidak dapat dibaca tanpa kunci dekripsi. Ransomware sering kali menggunakan algoritma enkripsi yang kuat, memastikan bahwa data terenkripsi tidak dapat dipulihkan tanpa kunci khusus.

Permintaan tebusan

Setelah mengenkripsi data, ransomware menampilkan pesan di layar korban, menuntut tebusan untuk mendekripsi data tersebut. Pesan ini biasanya berisi instruksi tentang cara membayar (biasanya melalui Bitcoin atau mata uang kripto lainnya untuk menyembunyikan identitas pelaku), serta batas waktu pembayaran. Beberapa versi ransomware juga mengancam akan menghapus data atau mempublikasikannya jika tebusan tidak dibayarkan.

Transaksi dan dekripsi (atau tidak)

Korban kemudian dihadapkan pada pilihan yang sulit: membayar tebusan dan berharap mendapatkan kembali datanya, atau menolak dan kehilangannya selamanya. Namun, membayar tebusan tidak menjamin data akan terdekripsi. Malahan, membayar tebusan justru dapat mendorong pelaku kejahatan untuk melanjutkan aksinya.

Cara kerja ransomware tidak hanya menunjukkan kecanggihan teknis, tetapi juga kenyataan yang menyedihkan: kesediaan untuk mengeksploitasi keluguan dan ketidaktahuan pengguna. Hal ini menggarisbawahi pentingnya meningkatkan kesadaran dan pengetahuan keamanan siber, mulai dari mengenali email phishing hingga memperbarui perangkat lunak keamanan. Dengan ancaman yang terus berkembang seperti ransomware, edukasi dan pencegahan menjadi semakin penting.

Varian Umum Ransomware

Di tengah dunia ancaman ransomware yang terus berkembang, beberapa varian menonjol karena kecanggihannya, kemampuannya menyebar, dan dampak seriusnya terhadap berbagai organisasi di seluruh dunia. Berikut deskripsi tujuh varian populer dan cara kerjanya.

REvil (juga dikenal sebagai Sodinokibi)

Fitur: REvil adalah varian Ransomware-as-a-Service (RaaS), yang memungkinkan penjahat siber untuk "menyewa" layanan tersebut untuk melakukan serangan mereka sendiri. Hal ini secara signifikan meningkatkan kemampuan ransomware untuk menyebar dan jumlah korbannya.

Metode Propagasi: Distribusi melalui kerentanan keamanan, email phishing, dan alat serangan jarak jauh. REvil juga menggunakan metode serangan untuk mengenkripsi atau mencuri data secara otomatis.

Ryuk

Fitur: Ryuk terutama menargetkan organisasi besar untuk memaksimalkan pembayaran tebusan. Ryuk memiliki kemampuan untuk menyesuaikan diri terhadap setiap serangan, sehingga sulit dideteksi dan dihapus.

Metode penyebaran: Melalui email phishing dan jaringan yang terinfeksi malware lain, seperti Trickbot dan Emotet, Ryuk menyebarkan dan mengenkripsi data jaringan.

Robinhood

Fitur: Robinhood dikenal karena kemampuannya menyerang sistem pemerintahan dan organisasi besar, menggunakan taktik enkripsi canggih untuk mengunci file dan meminta tebusan besar.

Metode penyebaran: Menyebar melalui kampanye phishing serta mengeksploitasi kerentanan keamanan dalam perangkat lunak.

DoppelPaymer

Fitur: DoppelPaymer adalah varian ransomware mandiri dengan kemampuan menyebabkan kerusakan serius dengan mengenkripsi data dan mengancam akan merilis informasi jika tebusan tidak dibayarkan.

Metode penyebaran: Disebarkan melalui alat serangan jarak jauh dan email phishing, terutama menargetkan kerentanan dalam perangkat lunak yang belum ditambal.

SNAKE (juga dikenal sebagai EKANS)

Fitur: SNAKE dirancang untuk menyerang sistem kontrol industri (ICS). SNAKE tidak hanya mengenkripsi data tetapi juga dapat mengganggu proses industri.

Metode penyebaran: Melalui kampanye phishing dan eksploitasi, dengan penekanan pada penargetan sistem industri tertentu.

Phobos

Fitur: Phobos memiliki banyak kesamaan dengan Dharma, varian ransomware lainnya, dan sering digunakan untuk menyerang bisnis kecil melalui RDP (Remote Desktop Protocol).

Metode penyebaran: Terutama melalui RDP yang terekspos atau rentan, yang memungkinkan penyerang mengakses dan menyebarkan ransomware dari jarak jauh.

LockBit

LockBit adalah varian ransomware populer lainnya yang beroperasi dengan model Ransomware-as-a-Service (RaaS) dan dikenal karena serangannya terhadap bisnis dan lembaga pemerintah. LockBit melakukan serangannya dalam tiga tahap utama: mengeksploitasi kerentanan, menembus jauh ke dalam sistem, dan menyebarkan muatan enkripsi.

Fase 1 - Eksploitasi: LockBit mengeksploitasi kerentanan dalam jaringan menggunakan teknik seperti rekayasa sosial, seperti melalui email phishing, atau serangan brute force pada server intranet dan sistem jaringan.

Fase 2 - Infiltrasi: Setelah infiltrasi, LockBit menggunakan alat "pasca-eksploitasi" untuk meningkatkan tingkat aksesnya dan mempersiapkan sistem untuk serangan enkripsi.

Fase 3 - Penerapan: LockBit menyebarkan muatan terenkripsi pada setiap perangkat yang dapat diakses dalam jaringan, mengenkripsi semua berkas sistem dan meninggalkan catatan tebusan.

LockBit juga menggunakan sejumlah perangkat lunak gratis dan sumber terbuka dalam proses intrusinya, mulai dari pemindai jaringan hingga perangkat lunak manajemen jarak jauh, untuk melakukan pengintaian jaringan, akses jarak jauh, pencurian kredensial, dan eksfiltrasi data. Dalam beberapa kasus, LockBit bahkan mengancam akan merilis data pribadi korban jika tuntutan tebusan tidak dipenuhi.

Dengan kompleksitas dan kemampuannya menyebar luas, LockBit merupakan salah satu ancaman terbesar di dunia ransomware modern. Organisasi perlu menerapkan serangkaian langkah keamanan yang komprehensif untuk melindungi diri dari ransomware ini dan variannya.

Dao Trung Thanh

Pelajaran 2: Dari serangan VNDirect hingga strategi anti-ransomware