Ransomware Merajalela, Lagi!

Ransomware Merajalela, Lagi!

Satriyo Wibowo

 

 

Raut muka anak muda 21 tahun yg tertutup masker itu tampak santai bahkan terkesan bosan, sama sekali tidak terlihat penyesalan meski saat itu dipertontonkan di hadapan media dengan barang bukti kejahatannya. Dia juga dengan ringan menolak bekerja sama dengan polisi siber yang menangkapnya, seolah hukuman penjara merupakan hal wajar yang malah akan meningkatkan levelnya di kalangan hacker. Atau mungkin dia merasa masih punya tabungan bitcoin yang belum disita polisi sehingga merasa aman secara finansial meskipun di penjara.

 

BBA ditangkap dan dikenai tuduhan kejahatan siber berlapis, dengan ransomware yang merugikan perusahaan tambang di Amerika sebagai dasar penangkapan. Dari diskusi-diskusi saat mengikuti program IVLP 2019, ransomware saat ini menjadi momok di Amerika Serikat terutama pada penyelenggara kota. Di tahun ini saja telah mencapai 108 kasus serangan ransomware ke kota-kota municipal (https://statescoop.com/ransomware-map/) dengan korban seperti Lake City, Riviera Beach, Baltimore, Cleveland, Augusta, Tallahassee, Albany, Jackson County. Serangan terbaru tercatat melanda kota-kota di negara bagian Texas dan Lousiana serta serangan yang lebih fokus ke NYPD untuk melumpuhkan basis data sidik jari mereka.

 

Walau secara umum serangan ini melibatkan algoritma penyandian yang mengunci file dan sistem komputer, namun ada pula model pemerasan dengan menggunakan spyware. Hacker memata-matai korbannya dengan mengambil alih kamera dan mikropon laptop, merekam aktifitas pribadi, mencuri login password email, dan meminta tebusan agar data-data pribadi yang dicuri tidak disebar luas.

 

Gambar 1. Model Ransomware dengan Spyware (sumber: rekan penulis yang jadi korban)

 

Dengan berkembangnya cryptocurrency, jenis kejahatan ini seolah meledak. Berdasarkan pantauan di twitter melalui mesin Drone Emprit Academy bekerja sama dengan UII, dideteksi bahwa serangan ini melanda dunia ke seluruh sektor, baik pribadi maupun perusahaan dan pemerintah, bank dan perusahaan IT juga tidak luput menjadi korbannya.

 

 

Varian Baru dengan Target Berbeda

 

Varian ransomware berkembang sangat cepat, bahkan tahun depan artikel ini mungkin sudah obsolete karena varian dan model baru terus muncul. Meski aparat penegak hukum seluruh dunia berusaha memberikan solusi dekriptor seperti yang dilakukan melalui https://www.nomoreransom.org, namun selalu saja ada yang belum ditemukan solusinya. Beberapa varian sepertinya fokus menyerang individu, namun ada juga varian yang dikembangkan khusus untuk menyerang korporasi yang sebenarnya sudah memiliki cyber hygiene yang lebih baik.

 

Kasus serangan ransomware RYUK kepada Lake City dan Riviera Beach di Florida merupakan contoh kasus ransomware yang didesain sedemikian canggih, khusus untuk target dengan tebusan besar. Pemerintah kota-kota tersebut sampai membayar lebih dari USD 1 juta dalam bentuk bitcoin agar sistem email, telekomunikasi, dan sistem pembayarannya dapat beroperasi kembali.

 

Ryuk Ransom dikembangkan dari varian Hermes oleh organisasi kejahatan siber dan sampai saat ini sukses mengumpulkan lebih dari 700 BTC. Metode penyandiannya yang berlapis dengan kunci yang berbeda tiap file menyebabkan pembuatan decryptor menjadi sangat sulit. Malware ini juga berhasil mencegah beroperasinya antivirus dan restore data.

 

Diketahui jenis ransom ini menyerang melalui spam email TrickBot dan download tools Emotet, ditargetkan kepada layanan publik atau korporasi yang tidak mempunyai anggaran, kesadaran, dan SDM cukup di bidang keamanan siber. Banyak korban yang akhirnya terpaksa membayar, karena lebih murah daripada melakukan instalasi ulang, atau memang tidak mempunyai cadangan sistem yang memadai. Beberapa korban berpikir sebaliknya dan pada akhirnya menanggung kerugian lebih besar. Serangan ke kota Baltimore yang meminta tebusan sekitar USD 100 ribu tidak dibayar, sehingga menyebabkan kerugian sampai USD 18 juta.

 

Selain Ryuk, ternyata ditemukan ransomware lain yang saat ini banyak menyerang korporasi. DoppelPaymer dan Dridex yang merupakan varian dari BitPaymer terdeteksi oleh CrowdStrike menyerang kota Edcouch Texas, Pemex Oil Meksiko, dan Kementerian Pertanian Chili. Shade/Troldesh terdeteksi oleh Group-IB sedang aktif menyerang Kawasan Meksiko dan Rusia serta beberapa target potensial di Inggris dan Jerman. Varian GandCrab yang dikenal sebagai REvil/Sodinokibi juga terdeteksi menyerang beberapa kota di Texas. Semua varian tersebut dipersenjatai khusus untuk menyerang target tertentu dengan tujuan uang tebusan besar.