Cara kerja ransomware adalah dengan mengenkripsi file dari sistem korbannya agar tak bisa diakses. Nah sekencang apa ransomware bisa mengenkripsi file berukuran besar?

 

Dalam tes yang dilakukan oleh Splunk, perusahaan analisis big data, ditemukan bahwa ransomware yang paling kencang bisa mengenkripsi data sebesar 53 GB dalam waktu empat menit sembilan detik.

 

Splunk menguji lima varian ransomware berbeda, yang masing-masing diinfeksikan ke empat jenis korban yang berbeda. 

 

Dari 400 tes yang dijalankan, terungkap kalau ransomware LockBit yang dijalankan di komputer berbasis Windows Server 2019 adalah varian ransomware terkencang.

 

Data sebesar 53GB tersebut terdiri dari 98 ribu file, yang bentuknya beragam, dari mulai PDF, Excel, sampai Word. 

 

Selain LockBit, ada juga nama-nama ransomware populer lain seperti REvil, Darkside, Babuk, Maze, dan beberapa lainnya.


 

Sementara di peringkat ke-2 ada Babuk, meski tercatat ada salah satu sampelnya yang butuh 3,5 jam untuk menyelesaikan enkripsinya, demikian dikutip dari Techspot.

Splunk membeberkan hasil temuannya ini secara komprehensif, agar perusahaan-perusahaan bisa membuat strategi jika nanti mereka terkena serangan ransomware.

 

Misalnya, dengan menerapkan multi factor authentication, segmentasi jaringan, log tersentralisasi, dan terus menambal celah keamanan di sistemnya.

 

Selain itu, data dari Splunk ini juga penting untuk tim keamanan siber di perusahaan untuk menentukan strategi dalam menyelamatkan data sebelum sepenuhnya terenkripsi. 

 

Namun, data sebesar 53GB saja bisa dienkripsi dalam waktu 4 menit, mungkin tak banyak data yang bisa diselamatkan saat terkena serangan ransomware.

Learn more »

Data Bank Indonesia bocor dibobol geng ransomware Conti. Apa dan siapa mereka?

 

"Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list," demikian pengumuman dari tweet Dark Tracer disertai postingan yang menampilkan file diduga milik Bank Indonesia yang bocor dan bikin heboh, Kamis (20/1/2022).

 

[Gambas:Twitter]

 

Dark Tracer menampilkan deretan file dengan nama depan corp.bi.go.id. Tertera pula keterangan bahwa total data yang bocor tersebut sebanyak 838 file sebesar 487,09 MB.

 

Badan Siber dan Sandi Negara (BSSN) membenarkan adanya kebocoran data di Bank Indonesia (BI). 

 

Juru Bicara BSSN Anton Setiawan menerangkan kalau serangan terjadi pada 17 Desember 2021. 

 

Pihak BI sudah dilaporkan ke BSSN, kedua pihak langsung berkoordinasi untuk melakukan mitigasi insiden tersebut. 

 

Disebutkan ada 16 PC yang terdampak dari serangan ini, namun diklaim tidak ada data sistem yang penting.

 

"Tim BSSN dan BI melakukan verifikasi terhadap konten dari data yang tersimpan. Data yang tersimpan diindikasikan merupakan data milik Bank Indonesia cabang Bengkulu," kata Anton.

 

Apa dan siapa itu Conti? Conti rupanya adalah ransomware yang beraksi internasional dan menebar masalah di banyak negara. 

 

Dilansir dari Cybersecurity & Infrastructure Security Agency (CISA) dan FBI Amerika Serikat, Kamis (20/1/2022) Conti sudah melakukan 400 serangan di Amerika Serikat dan organisasi internasional.


"Dalam tipikal serangan ransomware Conti, aktor siber jahat mencuri file, mengenkripsi server dan workstation dan meminta pembayaran tebusan," kata CISA dan FBI.

 

Conti adalah jenis ransomware yang disebut ransomware-as-a-service (RaaS). 

 

Mereka membobol jaringan lewat spearphishing dari email dengan attachment atau link berbahaya, masuk lewat kredensial Remote Desktop Protocol (RDP) yang lemah, sambungan telepon, software palsu dengan SEO, jaringan distribusi malware atau titik lemah lain pada target.

 

Australian Cyber Security Centre (ACSC) juga melaporkan serangan Conti di Negeri Kanguru pada November-Desember 2021. 

 

Diduga Conti adalah dari jaringan penjahat siber berbahasa Rusia.

 

"Conti mengincar lembaga di sektor yang penting, termasuk organisasi kesehatan," kata ACSC.

Learn more »

Sindikat hacker REvil kembali beraksi, kini targetnya adalah perusahaan IT bernama Kaseya, yang terkena serangan ransomware dari sindikat yang diduga asal Rusia tersebut.

 

REvil mengklaim ransomware mereka itu menyerang lebih dari satu juta komputer dan meminta tebusan sebesar USD 70 juta dalam bentuk bitcoin. 

 

Jika benar yang terdampak dari ransomware sebanyak itu, tampaknya ini adalah serangan ransomware terbesar sampai saat ini.

 

Kaseya adalah perusahaan yang menyediakan software untuk perusahaan-perusahaan kecil yang tak mempunyai divisi IT sendiri. 

 

Dengan model bisnis seperti itu, bukan tak mungkin korban dari ransomware ini sangat banyak.

 

Serangan ransomware yang berlangsung sejak Jumat lalu ini, menurut CEO Kaseya Fred Voccola, melumpuhkan sekitar 1.500 usaha yang tersebar berbagai negara. 

 

Korbannya adalah klien dari mulai dokter gigi, sekolah, sampai supermarket.

Saking besarnya dampak dari ransomware ini, Presiden AS Joe Biden sampai memerintahkan FBI dan CISA untuk menyelidiki pelaku serangan tersebut. 

 

Ia pun menegaskan akan mengambil tindakan jika ternyata Rusia ada di balik serangan tersebut.

 

"FBI dan CISA akan menghubungi korban yang sudah teridentifikasi dan akan memberikan bantuan dari penilaian dampak terhadap keamanan nasional," ujar Anne Neuberger, Deputy National Security Advisor for Cyber and Emerging Technology.

 

Ini bukan pertama kalinya Kaseya menjadi korban serangan ransomware, karena pada Juni 2019 lalu mereka pun pernah terkena ransomware yang diduga juga berasal dari REvil.

 

Peneliti keamanan Marcus Hutchins menganggap nilai tebusan yang diminta REvil itu terlalu besar. 

 

Menurutnya, dampak dari ransomware itu terlalu dibesar-besarkan oleh REvil yang bertujuan untuk meminta uang tebusan lebih banyak.

Learn more »

Serangan ransomware pada komputer sebuah rumah sakit Universitas Duesseldorf di Jerman mengakibatkan seorang pasien wanita meninggal dunia. Sungguh tega pelakunya!

Kasus tersebut menjadi pertama kali di mana komputer rumah sakit diserang ransomware hingga melumpuhkan sistem. Akibatnya rumah sakit tidak dapat menerima pasien darurat.

Lantas wanita tersebut dikirim ke fasilitas perawatan kesehatan yang jauhnya sekitar 30 km dari rumah sakit tersebut, seperti dilaporkan Associated Press dikutip dari dari The Verge.

 

Serangan dunia maya ini ternyata tak ditujukan ke rumah sakit, menurut laporan dari kantor berita Jerman RTL. Tebusan telah ditujukan ke universitas terdekat.

Para penyerang kemudian menghentikan serangan tersebut setelah pihak berwenang memberi tahu mereka bahwa mereka sebenarnya telah menutup rumah sakit.

Otoritas Jerman masih menyelidiki kematian wanita tersebut. Jika pengalihannya ke rumah sakit lain diketahui bertanggung jawab atas kematiannya, polisi mungkin menganggap serangan siber sebagai pembunuhan.

Fasilitas perawatan kesehatan adalah salah satu target terbesar serangan siber dan pakar keamanan siber telah memperingatkan selama bertahun-tahun bahwa sebagian besar rumah sakit tidak siap.

 

Mereka sangat bergantung pada perangkat, seperti peralatan radiologi, yang sering kali terhubung ke internet. Tanpa alat tersebut, mereka tidak akan mampu merawat pasien.

"Jika sistem terganggu melalui internet, oleh musuh atau kecelakaan, itu dapat berdampak besar pada perawatan pasien," kata Beau Woods, seorang advokat keamanan siber dan rekan inovasi keamanan siber di Dewan Atlantik, kepada The Verge tahun lalu.

Bahkan serangan ransomware yang menargetkan data pasien, dan tidak berdampak langsung pada perangkat medis, dapat mengganggu hasil pasien di mana satu studi menemukan bahwa tingkat kematian rumah sakit akibat serangan jantung meningkat pada tahun-tahun setelah pelanggaran data.

Itu mungkin karena rumah sakit harus mengalihkan sumber daya untuk merespons serangan atau meningkatkan perangkat lunak dengan cara yang mengubah cara dokter beroperasi.

Learn more »

Berbagai perangkat wearable buatan Garmin tak bisa terhubung selama hampir sehari penuh, dan penyebabnya diduga adalah serangan ransomware.

Masalah ini berdampak pada perangkat wearable, aplikasi, dan juga call center milik Garmin.

"Kami saat ini mengalami pemadaman yang berdampak pada Garmin.com dan Garmin Connect.

Pemadaman ini juga berdampak pada call center, dan kami saat ini tak bisa menerima panggilan telepon, email, ataupun percakapan secara online," tulis Garmin di Twitter dan situs Garmin Connect.

Garmin Connect adalah layanan yang membuat pengguna perangkat Garmin seperti jam tangan Forerunner memantau performanya.

Zdnet juga melaporkan kalau flyGarmin, layanan navigasi Garmin pun saat ini tak bisa dipakai.

Dilansir Zdnet, Garmin terpaksa mematikan sejumlah layanannya setelah ada serangan ransomware yang menyandera sejumlah sistem milik Garmin di jaringan internal mereka.

Garmin sendiri belum mengkonfirmasi kebenaran kabar ini.

Namun menurut Zdnet, ransomware yang menyerang Garmin ini adalah WastedLocker.

Lalu ada juga sebuah memo internal yang diduga berasal dari tim IT Garmin di Taiwan yang menyebut pabrik mereka di Taiwan pun sudah dua hari tak beroperasi, namun tak disebutkan penyebabnya.

Namun sejumlah sumber menyebut kalau penyebab tak beroperasinya pabrik tersebut adalah sebuah virus.

Learn more »

Gambar 1, Konsol administrator NGAV yang tetap dapat memonitor dan manajemen semua workstation antivirus dimanapun komputer tersebut berada.



Pandemi COVID-19 membuat banyak karyawan yang tadinya bekerja di kantor dan hanya mengakses informasi kritikal perusahaan dari jaringan intranet yang terlindung di dalam perimeter, beralih ke rumah.

Perlindungan data dari ransomware pun harus ekstra dilakukan.

Seperti telah disebutkan, karyawan yang kini bekerja dari rumah, mengakses sistem kritikal perusahaan lewat jaringan internet yang notabene lebih rentan dari serangan sekuriti.

Sistem manajemen antivirus tradisional dirancang untuk berjalan di dalam lingkungan intranet dan sekali komputer yang dilindungi berada di luar jaringan intranet, administrator akan kesulitan untuk memonitor komputer tersebut dengan baik.

Memang, bisa saja komputer tersebut diatur untuk melindungi diri secara mandiri dan mengupdate definisi antivirus secara otomatis.

Namun, kurangnya kontrol dan monitoring realtime dapat menjadikan komputer tersebut menjadi trojan ketika terhubung kembali ke jaringan intranet perusahaan.

Karena itu, administrator harus ekstra hati-hati memberikan akses sistem dan database perusahaan kepada komputer dari luar jaringan intranet.

Terapkan pengamanan dengan baik seperti hanya menggunakan Virtual Private Network (VPN) untuk akses sistem kritikal perusahaan, implementasikan sekuriti bertingkat seperti mencegah bruteforce password atau menerapkan Two Factor Authentication (TFA) jika ingin mengakses jaringan perusahaan.

Usahakan menggunakan antivirus Next Generation Antivirus (NAGV) yang ringan, sehingga tetap dapat memonitor dan melakukan manajemen klien antivirus sekalipun tidak terhubung ke intranet atau ketika sedang melakukan WFH.

(lihat gambar 1)


Ransomware


Menilik ancaman malware di paruh pertama 2020, tidak dapat dipungkiri bahwa ransomware sudah menjadi ancaman nyata dan mematikan bagi korbannya saat ini.

Dan ancaman ransomware ini juga berevolusi mengikuti perkembangan dimana jika pada awalnya ransomware hanya menyebarkan diri melalui lampiran email, kini menggunakan metode lain seperti menumpang aplikasi crack yang sering digunakan untuk membajak program populer, atau menginfeksi melalui jaringan adware dan trojan yang cukup dengan mengunjungi situs yang sudah terkontaminasi trojan atau adware, dapat menjadi korban ransomware.

Saat ini, ransomware mengincar server database, karena pembuat ransomware rupanya belajar dari pengalaman bahwa server database lebih memiliki data bernilai ekonomis tinggi dan korbannya lebih banyak yang bersedia membayar uang tebusan dibandingkan pengguna komputer biasa.

Kabar buruknya, metode dan teknologi enkripsi yang digunakan oleh ransomware untuk mengenkripsi data makin hari makin mencapai kematangan.

Jika ransomware menyerang pada beberapa tahun silam, kita masih bisa mengharapkan peluang dekripsi data karena kelemahan dalam source code ransomware, perlindungan server pusat ransomware yang lemah, atau metode penyimpanan kunci private ransomware.

Namun saat ini, program ransomware yang digunakan mayoritas sudah cukup matang dan makin sedikit memiliki kelemahan seperti yang disebutkan di atas, sehingga sangat sulit (bahkan hampir mustahil) untuk dapat melakukan dekripsi data yang dienkripsi oleh ransomware di tahun 2020 ini.

Karena itu, penulis menyarankan kepada para pengguna komputer dan administrator server yang mengelola data penting agar menyadari ancaman ini dan melakukan perlindungan yang diperlukan, guna menjaga risiko serangan ransomware.

Salah satunya adalah menerapkan Vaksin Protect / Ransom Protect (sebelum terinfeksi ransomware) yang berfungsi mengembalikan data yang terenkripsi tanpa tergantung backup hanya dengan beberapa kali klik sekalipun data berhasil dienkripsi oleh ransomware.

Jika Anda melakukan backup, pastikan data yang di backup tersebut terlindungi dari akses ransomware karena banyak kasus infeksi ransomware dimana data backup yang seharusnya bisa digunakan untuk restore juga ikut terenkripsi oleh ransomware.

Penyebar ransomware juga makin pintar dan secara khusus sistem yang membuka askes remote pun berkembang, seperti Remote Desktop Protocol.

Karena itu, perhatian dan pengamanan khusus harus dilakukan oleh administrator sebelum mengaktifkan Remote Desktop.

Ingat, lawan yang Anda hadapi adalah manusia atau peretas yang berpengalaman, bukan mesin.

Mereka akan mencoba berbagai macam cara dan metode guna mendapatkan akses ke server dan data berharga yang Anda lindungi.


Trik melindungi data backup


Penulis menyarankan admin untuk semaksimal mungkin menghindari penggunaan Remote Desktop Protocol (RDP) karena secara de facto server yang mengaktifkan RDP menjadi target favorit ransomware dan secara rutin dipindai oleh pembuat ransomware.

Server RDP juga memiliki banyak kelemahan yang sulit ditutup dan mudah dieksploitasi penyebar ransomware.

Jika karena satu dan lain hal Anda harus mengaktifkan RDP, maka pengamanan ekstra harus dilakukan seperti :

1. Batasi IP yang bisa melakukan RDP. Jangan memberikan akses RDP kepada seluruh IP

1. Batasi batas maksimal percobaan login untuk mengantisipasi Brute Force

1. Gunakan VPN untuk mengakses RDP. Berikan perlindungan tambahan jika pada kredensial akses VPN

1. Gunakan manajemen kredensial yang baik dan kalau memungkinkan aktifkan TFA untuk melindungi kredensial akses

1. Lakukan backup data penting secara teratur dan batasi akses terhadap file backup sehingga tidak sampai ikut dienkripsi jika server menjadi korban ransomware.

Learn more »