Ransomware menjadi ancaman yang meningkat di kalangan pemerintahan, lembaga dan akademisi, dan dikenal salah satu ancaman paling berbahaya di bidang keamanan Cyber. Merusak data, mengunci dan meminta tebusan.
Apa itu Ransomware Ransomware adalah software "berbahaya" , dirancang dan digunakan peretas untuk mengunci akses ke data korban, umumnya akan meminta uang tebusan untuk pemulihan data. Walau tidak semuanya, kadang ada yang mencuri data.
Ketika Ransomware masuk ke sistem jaringan, apakah computer, server, perangkat mobile, perangkat yang terhubung ke internet. Program tersebut membaca semua file, dan mengacak isinya dan di kunci dengan enskripsi. Setelah di enskripsi, file yang telah di acak tidak dapat dibuka tanpa kunci password.
Mirip seperti kita mengunakan Winrar, Winzip, tapi berfungsi untuk kompres data. Lalu kita memasang kunci pengaman / password agar tidak dibuka orang lain tanpa password.
Bitlocker Windows, dapat mengamankan storage dengan enskripsi, bedanya kita sendiri yang mengunci. Bila notebook, storage hilang lalu digunakan orang lain, data di dalamnya tetap terkunci.
Masalahnya, serangan Ransomware untuk merusak data, dan malware tipe ini dapat masuk dari mana saja. Mencoba menginfeksi computer di satu badan, jaringan dan lainnya. Mencari kelemahan, misal backdoor atau kerentanan sistem computer. Caranya dapat bermacam macam, mengelabuhi dengan link, download program, email, media sosial atau mencari kelemahan pada perangkat dan malware masuk lalu dijalankan, atau bekerja otomatis.
Tidak terbatas pada computer, malware dapat menginfeksi perangkat smartphone sampai smart device seperti perangkat IoT. Bila database negara berhasil di infeksi jangan terlalu heran. Negara maju termasuk lembaga dengan keamanan Cyber yang baik, tidak kebal bila lengah. Walau semua sistem sudah terjaga dengan baik, kelemahan terjadi di sumber daya manusia.
Juni 2024, serangan Ransomware di Inggris berdampak buruk, bahkan mengancam nyawa pasien Karena data dirusak milik layanan kesehatan di beberapa rumah sakit serta penelitian patologi. Membuat layanan donor darah terhenti beberapa hari.
Ketika ransomware sudah menyerang ke satu badan (sistem network), dimana disana ada data penting misal informasi pasien. Membuka peluang pemerasan terjadi, dan menuntut tebusan bila data ingin dibuka. Masalah lain, bila tidak membayar lalu apa yang terjadi. Apakah perusahaan, lembaga, bahkan perangkat pribadi kita sendiri tetap terkunci begitu saja. Tentu ada backup data di layanan jaringan besar, khususnya di perusahaan besar.
Masalah kedua, dimana informasi penting akhirnya di publikasi ke internet. Disisi layanan publik, bobolnya data di internet menjadi masalah besar. Badan hukum atau lembaga berwenang akan menanyakan mengapa data pribadi seperti kartu kredit layanan perusahaan, data pasien muncul di internet, password dan lainnya bocor. Itu menjadi tuntutan hukum, dianggap perusahaan lalai menjaga data mereka.
Cara kerja ransomware Kita bertanya bagamana ransomware dapat masuk.
Ransomware datang dari Link kata TrendMicro, mendownload program, dan membuka pintu untuk masuk malware ke sistem computer (termasuk jaringan computer). Paling umum untuk korporasi dengan email Phishing Di OS Windows, umumnya malware menyusul di folder %appdata% atau %temp%, bagian ini sering digunakan sistem computer untuk Write file tanpa hak Admin. Selanjutnya Malware bekerja background.
Bila sudah ada di dalam, malware akan menghubungi server atau berkomunikasi. Disebut C&C, remote command dan control. Ada yang mengambil data / perintah dari sebuah web, yang mungkin kita tidak curigai, dan perintah file disimpan disana untuk mengirim atau menerima informasi (mungkin Command selanjutnya).
Dari folder yang terinfeksi. Malware mencari file tertentu, lalu dikunci. Bisa folder, jenis file dan lainnya. Beberapa ransomware juga mencari data backup dan menghapus file yang sudah di Mirroring.
Selanjutnya proses enskripsi. Beberapa varian dapat membuat Entri otomatis kembali untuk proses enskripsi ketika dicoba dihentikan. Mirip seperti program di Start-up Windows, dan melakukan pekerjaannya. Beberapa malware tipe ransomware begitu cepat mengunci data dalam storage kapasitas besar.
Jawabannya sangat mudah, yang paling mudah kita ambil yaitu Phishing email, karena sudah pasti siapa nama target dari email dan nama perusahaan, lembaga dan lainnya.
Contoh link email dengan nama resmi, alamat email perusahaan, attachment email yang terlihat sah "ternyata" Anda tentu tahu, dan tidak akan membuka. Tapi bagi mereka yang tidak terbiasa, bahkan menganggap email tersebut dikirim dari sumber resmi seperti atasan. Itu yang dapat mengelabuhi penerima.
Dibawah ini bagan yang diberikan oleh McAfee.
Ketika phishing berhasil, dan menyusup ke sistem jaringan internal perusahaan. Disana program mulai beraksi, mengunci file penting, dan meminta tebusan.
Sistem RDP atau Remote Desktop Protocol dimanfaatkan untuk menyusup. Di Windows sistem tersebut Enable, dapat kita nonaktifkan. Dengan RDP, peretas dapat mencoba membuka dengan menebak password staf perusahaan. Sebaiknya RDP Windows di Disable, bila kita tidak memiliki kebutuhan fitur tersebut. Itu contoh, cara lain tentu saja ada.
Ketika malware Ransomware sudah ada di dalam jaringan, misal di satu computer Disana pintu telah terbuka, dan sistem file akan dikunci. Beberapa malware juga dapat merusak file cadangan untuk mempersulit pemulihan data.
Serangan malware dapat menginfeksi perangkat dari : Phishing email paling umum dengan target yang tepat. Email dengan lampiran, bila dicurigai tanyakan kembali ke pada pengirim. RAT, mendownload zip file yang berisi script Javascript berbahaya Sosial media, mengklik link. Malvertising, tampilan iklan menarik di internet, membawa user membuka website berbahaya. Infeksi program, sudah ditanam di dalam program. Website, masuk ke situs berbahaya, atau membuka link di Pop browser Infeksi koder berbahaya dari jaringan dan USB sendiri.
Ada 3 tahapan yang biasa dilakukan malware. Membuka pintu untuk masuk (penyusup). Mengengskripsi data untuk tugas utama Meminta tebusan setelah berhasil merusak data.
Pencegahan Ransomware Penting melakukan backup data, dan harus rutin dilakukan. Perusahaan website umumnya mengunakan backup tidak kurang 1 minggu. Untuk menjaga data pelanggan aman, ketika storage bermasalah. Dengan data backup, storage baru dipasang dan data dikembalikan.
Bagi perusahaan, backup data umumnya harus dilakukan berkala, dan data di kunci untuk keamanan internal, di uji sebelum diamankan, lalu dipisahkan dari jaringan utama. Dan rutin dilakukan, mengingat peretas akan mencoba kembali, tidak hanya 1 kali, bisa saja puluhan bahkan ratusan kali bila melihat target sebagai sasaran empuk.
Teknologi redundant atau sistem backup hardware. Sudah dikenal sejak awal tahun 1990an untuk pemakaian konsumen. Dimana 2 computer server saling terkait di dalam satu jaringan, hanya 1 computer utama (master) yang bekerja untuk menangani data perusahaan. Sedangkan computer server kedua (Slav) melakukan sinkronisasi. Ketika satu computer crash seperti storage yang rusak, operasi perusahaan tetap berjalan, dan server kedua mengantikan server pertama Kita berbicara teknologi 30 tahun, ketika Compaq merilis server Proliant.
Di era modern saat ini, tentu saja lebih canggih. Teknologi dapat mengantikan sistem backup dan di program secara otomatis Tidak hanya 1 server, bisa saja 3-4 server dengan tugas berbeda beda. Ketika satu server yang difungsikan sebagai cadangan, storage melakukan backup data, lalu dikeluarkan dan diganti dengan storage baru. Dengan sistem data Hot Swap, computer tidak perlu dimatikan. Hanya storage pertama saja yang dikeluarkan dan diganti untuk storage cadangan kedua. Itu berbicara sistem backup data.
Atau mengunakan sistem NAS / Network Attached Storage bagi perusahaan menengah mungkin dapat mencegah kerusakan data. Kalangan fotografer, desainer, dan programmer, umumnya mengetahui manfaat NAS. Khusus untuk data pribadi, sekaligus mengamankan data ketika hardware storage terjadi gagal kerja.
Pencegahan di perusahaan saran dari CheckPoint. Mengarantina computer, karena beberapa malware mencoba mencari drive lain yang terhubung di jaringan setelah terlihat aktivitas tidak aneh. Membatasi akses di jaringan network menjadi kontrol agar malware tidak langsung keliling (menyebar) di sistem jaringan.
Ransomware perusahaan Hoya produsen optik 30 Maret 2024, pihak perusahaan menemukan salah satu sistem kantor di luar negeri bermasalah. Tim
Hoya mengisolasi server yang bermasalah, serta menghubungi otoritas terkait. Sampai ditemukan adanya akses tidak sah ke server oleh pihak
luar. 10 April 2024, peretas meminta tebusan dari file yang dicuri sebesar 2TB. Kerusakan tidak besar, dan Hoya dengan cepat mengamankan server storage lainnya.
Ransomware ThyssenKrupp industri baja 24 Februari 2024 Krupp pemasok untuk kendaraan, pabrik di Saarland dengan 1000 karyawan terkena Ransomware. Setelah diketahui adanya penyusup, 2 hari kemudian Krupp menyatakan ada yang membobol divisi otomotif. Tapi upaya peretasan gagal, dan bertahap pabrik Kurpp kembali beroperasi normal. Upaya pemulihan Ransomware berhasil dilakukan.
Faktor manusia Ini bagian penting, sekuat apapun sistem keamanan yang dibangun. Disana kelemahan dapat terjadi. Prosedur penanganan data, bahkan kita juga. Tahu apa yang perlu disimpan dengan baik.
Dari staf yang berkepentingan seharusnya diberi pengetahuan. Maklum, banyak staf yang melakukan kerja rutin dan tidak melihat sisi dunia luar. Perlu diberitahu kepada staf termasuk diri kita. Bagaimana penyusup data masuk, apakah dari media sosial, link, spam email (phishisng), chat, program yang di download dan lainnya.
Salah satu penyebaran malware tahun 2024, juga melanda layanan pembuat program gratis. Mungkin kita sudah terbiasa dan aman mendownload, sekarang dijawab tidak. Dulu program disana dibuat oleh programmer untuk membantu penguna dan di berikan gratis sekaligus melakukan pengujian terhadap kemampuan diri mereka.
Tetapi ada saja yang memanfaatkan, dan merubah isi program dan dimasukan kembali dengan nama yang mirip. Mungkin membuat kita terkecoh ketika kita mencari informasi, ternyata program yang di download bukan di link yang biasa.
Ingat Google sebelumnya berusaha menghentikan Spam Link terkait dengan sistem Ai di pencarian tapi menjadi bumerang bagi penguna intenet. Dimana link tidak memiliki isi berada di halaman pertama sedangkan isi konten yang kita cari kadang dibawah, bahkan tidak muncul.
Di bulan Mei 2024, jumlah Spam Link telah berhasil ditangani walau tidak 100%, karena Spam Link akan ada selama pembuat Spam Link masih menguntungkan dengan memasukan kata pencarian paling favorit.
Seperti dibawah ini, sangat mudah dikenali. Website CA adalah domain negara Kanada, tapi mengunakan bahasa Indonesia. Link tersebut hanya berisi halaman kosong, dan entah untuk apa.
Spam Link adalah link kosong kadang muncul bersamaan dengan yang kita cari, ketika di click tidak ada isi. Tujuan pembuatnya untuk membanjiri layanan Search Engine agar lebih banyak user mengclick masuk ke situs yang mereka arahkan. Bisa saja Spam Link dimanfaatkan untuk hal lain.
Keamanan bagi perusahaan dan pribadi. Tentu saja diperlukan pemantauan networking dan deteksi gangguan, melihat aktivitas yang mencurigakan. Tidak hanya tahu, tapi mengerti apa yang harus dilakukan selanjutnya.
Bagi penguna pribadi, Firewall salah satu fungsi program untuk memblok aktivitas program di computer. Bila ada hal yang mencurigakan "kadang" dapat kita ketahui. Memeriksa program sebelum digunakan, walau tidak 100% dapat mencegah, setidaknya kita dapat memerika terlebih dahulu.
Walau sistem Antivirus kadang menganggu performa computer seperti di kalangan gamer. Antivirus dapat menjadi pencegahan dini, jangan lupa mengaktifkan kembali Antivirus atau Defender Windows. Dan melakukan update berkala.
Sebagai catatan, beberapa malware dapat melakukan mengelabuhi penguna dan sistem perlindungan antivirus. Program dapat berganti setelah berhasil masuk, dan tidak terditeksi oleh antivirus lagi. Karena kode program akan terus berubah.
Hindari mendownload program gratis dengan proteksi Password. Memeriksa via online antivirus tidak dapat menditeksi kode berbahaya di dalam program yang sudah di ZIP / RAR dengan password. Ekstrasi program baru diperiksa sebelum di install. Layanan Google memberikan pemeriksan software berbahaya dan gratis. Tinggal kita apakah mau memeriksanya.
Proteksi Ransomware Windows 10 Windows 11 Disebut Ransomware Protection, tersedia di OS Windows. Di menu Setting ketik, Ransomware. Anda akan melihat sistem OS Windows tidak mengaktifkan fitur Ransomware default. Karena Microsoft menilai proteksi ini dapat dipilih sebagai opsi.
Aktifkan Controlled folder access. Fungsi melindungi file, folder dan area memory perangkat ketika terjadi perubahan tidak biasa dari program. Program apa saja yang boleh mengakses folder tersebut, juga dapat kita atur. Dengan catatan bila anda membutuhkan Ransomware Protection.
Ransomware Protection dapat dimanfaatkan untuk memblok program yang tidak perlu untuk mengakses drive C Seperti mengakses SSD di drive C agar menghindari terlalu banyak program menulis data. Hanya program tertentu saja yang mendapat ijin mengunakan folder drive C SSD.
Password Secara pribadi paling mudah mengunakan password sederhana. Tetapi disana kelemahan yang terjadi. Demikian juga di perangkat seperti computer, akan mudah ditebak ketika proses RDP dari luar.
Bila kita membaca berita internet, beberapa kata Ransomware terus semakin banyak muncul. Diartikan serangan malware Ransomware masih terus meningkat Perusahaan, badan saat ini adalah target utama, tinggal menunggu kapan perangkat pribadi menjadi target selanjutnya.
Bisa saja ada yang membuat Ransomware kecil kecilan, dan berharap mengunci data computer untuk memeras "kita". Walau kita tidak peduli dengan pemerisan, memilih memformat computer kita, yang jelas tindakan tersebut hanya membuang waktu.
Disini hanya berbicara untuk keamanan data pribadi kita sendiri. Jangan terfokus dengan Ransomware, masih ada lagi yang dicari peretas hitam. Tujuannya untuk mencuri seperti tipe malware diluar jenis Ransomware. Baik password media sosial, otentifikasi, dompet kripto dan lainnya salah satu yang diincar.
Tipe malware ransomware teknik berbeda dan tujuan berbeda Locker Ransomware, tipe ransomware yang tidak mengunci file. Tapi mengunci computer untuk tidak dapat digunakan. Cyrpot Ransomware, meminta bayaran dengan kripto Wiper, mengunci permanen. RaaS,
distribusi dari grup ransomware yang terafiliasi ke malware kalangan
mereka. Ketika perusahaan membayar, maka uang dibagi bagikan. Data
Stealing Ransomware, beberapa varian ransomware fokus untuk mencuri
data, dan tidak mengunci data. Karena mengunci data membutuhk waktu dan
mudah terditeksi. Jadi datanya yang dicuri untuk memeras perusahaan.
Infeksi nama Malware Ransomware Juni 2024 Malware
Ryuk, varian ini fokus mengirim via email ke target, dan mencari kunci
untuk RDP. Ryuk, mengenskripsi file tertentu, tapi tidak menghindari
file sistem. Target perusahaan besar. Malware Labirin (Maze), mencuri
dan mengenskripsi data. Malware Maze awalnya mencuri data penting,
sebelum mengunci. Bila tebusan tidak didapat, file dijual atau disebar.
Pembuat Maze resmi berhenti, tapi masih ada afiliasi dengan varian
Egregor, Sekhmet yang mirip dari sumber yang sama. Revil, ada sejak
2019 dari grup Rusia, dan bersaing dengan Ryuk. (malware saja bersaing
untuk mendapatkan mangsa). Meminta tebusan dan enskripsi, dan
mempublikasi data. Lockit, di tahun 2024 versi 3. Dikembangkan sejak
2019, tipe ransomware Raas terbaru. Mengenskripsi data besar dengan
cepat agar terhindari dari pemeriksaan IT dan hardware security. DearCry,
Maret 2021 Microsoft telah memberi Patch security ke server Microsoft
Exchange. Varian ini mencari kerentanan Microsoft. Mengenskripsi file,
meminta tebusan dan mengirim email ke operator pembuatnya. Lapsus$, grup dari Amerika Selatan, khusus target penting. Peminta tebusan, mengancam membuka file yang sudah dicuri.
Ransomware di era 2017 dengan puncaknya yang disebut malware WannaCry. Meningkat di era Covid, dimana banyak pekerjaan dilakukan remote dan tercipta kesenjangan keamanan. Tahun 2023, ransomware menargetkan 10% perusahaan global dibanding tahun 2022 7%. Ransomware atau malware lain sudah lama ada, hanya ramai ketika data negara kita terkena.
Tahun 2024 catatan beberapa lembaga terkena Ransomware
May 01, 2024 Simone Veil hospital in Cannes, France - LockBit May 05, 2024 Wichita government - LockBit Ransomware May 08, 09, 29 2024 Catholic health system Ascension - BlackBasta Group May 09, 2024 Ohio Lottery - DragonForce May 12, 2024 British auction house Christie - RansomHub May 14, 2024 Singing River Health System - Rhysida Ransomware May 20, 2024 OmniVision - Cactus ransomware May 21, 2024 London Drugs - LockBit May 26, 2024 MediSecure - Ansgar May 29, 2024 ABN AMRO - Unknown May 29, 2024 Ticketmaster/Live Nation - ShinyHunters May 29, 2024 Seattle Public Library - Unknown
April 01, 2024 Omni Hotels - Daixin Ransomware April 03, 2024 IxMetro Powerhost - SEXi Ransomware April 04, 2024 Panera Bread - Unknown April 04, 11, 2024 Hoya Corporation - Hunters International ransomware April 08, 2024 The government of Palau - DragonForce Ransomware April 08, 2024 The Tarrant County Appraisal District - Medusa Ransomware April 08, 2024 German database company Genios - Unknown April 09, 2024 Non-profit healthcare - BlackSuit Ransomware April 09, 2024 New Mexico Highlands University - BlackSuit Ransomware April 15, 2024 Chipmaker Nexperia - Dunghill Leak April 15, 2024 Change Healthcare - RansomHub Extortion April 17, 2024 Cherry Street - Unknown April 18, 2024 D.C. Department of Insurance - LockBit April 19, 2024 UNDP - 8Base ransomware April 21, 2024 Synlab Italia - Unknown April 22, 2024 UnitedHealth - BlackCat/ALPHV April 23, 2024 Plasma company Octapharma - BlackSuit Ransomware April 23, 2024 Skanlog - Unknown
March 02, 2024 Iowa electric - Unknown March 04, 2024 Fulton County - LockBit March 05, 2024 Duvel Moortgat - Stormous Ransomware March 12, 22, 2024 Boat Dealer - Rhysida Ransomware March 15, 2024 Scranton School - Unknown March 17, 2024 MediaWorks - Unknown March 18, 2024 Henry County, Illinois - Medusa ransomware March 19, 2024 Crinetics Pharmaceuticals - LockBit March 25, 2024 The city of St. Cloud - Unknown March 27, 2024 Big Issue newspaper - Qilin ransomware March 28, 2024 Municipalities in Texas - Unknown
Sumber csrc.nist.gov/projects/ransomware-protection-and-response www.cisa.gov/stopransomware/ransomware-101 us-cert.cisa.gov/ncas/tips/ST04-003 www.pcgamer.com/windows-10-has-a-built-in-ransomware-block-you-just-need-to-enable-it/ www.cisa.gov/stopransomware csrc.nist.gov/CSRC/media/Projects/ransomware-protection-and-response/documents/NIST_Ransomware_Tips_and_Tactics_Infographic.pdf www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C_.pdf www.cisa.gov/sites/default/files/Ransomware_Trifold_e-version.pdf
Malware Pandoraspear menyusup di file APK gratis untuk hiburan dan firmware Android TV, juga disebut menyerang IoT. Malware Pandoraspear telah mencapai 170 ribu perangkat aktif, sebagian di Brasil. Grup peretas dapat merubah link HOST di perangkat.
Penguna perangkat Asus WIFI Router model lama ada baiknya memeriksa update Firmware, mengunakan password WIFI lebih baik. Malware TheMoon dapat mencari keretenanan Router, menjadi Bot, membuat sebagai Proxy server untuk bisnis mereka.
Serangan DDoS sudah mencapai 1,6Tbps, dengan 300Gbps saja sudah dapat menjatuhkan sebuah layanan. Mengapa Indonesia menjadi sumber sreangan DDoS, bahkan di peringkat nomor 2. Serangan DDoS untuk menganggu layanan seperti server, target terbesar Gaming, telekom dan keuangan.
Trojan Backdor Oyster di Chrome dan Teams. Malware Microsoft Office Installer infeksi dari P2P Torrent. Cari program petani di Youtube, jangan jangan dapat Lumma Stealer. RedLine Stealer menyamar sebagai cheat game. Hati hati mencari link software CPU-Z, WinSCP, Advanced IP Scanner gratis.
Install Windows dan Office versi 10 hati hati mencari di jaringan P2P, satu grup Windows terinfeksi malware kripto. Infeksi masuk ke EFI, di awal Windows di Install. Program dapat berpindah dengan 3 bagian, dari tugas infeksi, mengambil malware dan mengeksekusi.
Gmail tidak dapat diakses dari smarpthone. Google merubah sistem keamanan secara penuh dengan 2FA. Email dan Password tidak mengamankan email kita dicuri. Google menjaga dengan meminta pemilik akun mendaftar software / app apa yang dipakai dan di perangkat apa. Agar penguna lebih aman.
Desember 2021 terditeksi aktivasi KMSPico untuk meniru keaslian Windows telah diinfeksi malware Cyrpto Wallet. Hampir semua browser dapat di monitor dan diambil data oleh malware. Disarankan mengambil dari sumber asli pembuat.
RDP - Remote Desktop Protocol adalah satu fitur di Windows ketika seseorang ingin melakukan remote computer dari computer lain. Tapi hati hati di bulan Mei 2020 ada yang sedang mengumpulkan dengan menginfeksi computer dengan malware Sarwen. Bagaimana menonaktifkan RDP di Windows.