Cara mengatasi ransomware untuk melindungi data bisnis Anda

Ransomware kini menjadi salah satu ancaman siber paling serius bagi organisasi di seluruh dunia, termasuk Indonesia. Serangan ini tak hanya mengunci akses terhadap data penting, tapi juga bisa melumpuhkan operasional bisnis dan menimbulkan kerugian finansial yang besar. Di Indonesia sendiri, berbagai kasus ransomware telah mencuat ke publik, mulai dari serangan terhadap sektor perbankan hingga instansi pemerintahan.

Lantas, apa itu ransomware? Mengapa kita perlu memusatkan perhatian pada ransomware dan bagaimana cara terbaik untuk mencegah serta menanganinya? Temukan jawabannya di artikel blog ini.

Apa itu ransomware?

Ransomware adalah jenis malware di mana data sensitif organisasi dicuri dan disimpan, sampai tebusan dibayar. Biasanya, pelaku ransomware akan mengenkripsi data dan mengunci akses ke data tersebut, bahkan mengancam untuk mempublikasikan data jika organisasi tidak membayar tebusan.

Ransomware kini telah berkembang menjadi industri yang bernilai miliaran dolar AS. Banyak kelompok-kelompok cybercriminal terbentuk untuk mengembangkan serangan ransomware yang memanfaatkan teknologi terkini, kemudian menargetkan perusahaan-perusahaan besar dengan harapan mendapatkan keuntungan dari uang tebusan.

Penyebab terjadinya serangan ransomware di suatu organisasi pun beragam. Beberapa di antaranya berasal dari semakin luasnya permukaan serangan (attack surface), misalnya kerentanan pada sistem yang tidak diperhatikan. Selain itu, ada pula yang disebabkan oleh kelalaian manusia, seperti mengklik email phishing atau malvertisement yang mengandung ransomware.

Apa saja jenis ransomware?

Jenis-jenis ransomware yaitu berikut ini:

Lock screen ransomware

Lock screen ransomware membekukan fungsi-fungsi dasar pada layar komputer dan meminta tebusan agar pengguna bisa kembali membuka kunci layar. Jenis ransomware yang biasanya menargetkan individu ini contohnya adalah Reveton.

Crypto ransomware

Crypto ransomware menginfeksi dan mengenkripsi data penting bisnis, lalu mengubahnya menjadi informasi yang tidak bisa dibaca. Biasa menyerang organisasi yang memiliki banyak data sensitif, contoh dari crypto ransomware adalah CryptoWall, CryptoLocker, NotPetya, dan WannaCry.

Apa contoh kasus ransomware di Indonesia?

Serangan ransomware di Indonesia bukan hal baru. Berkali-kali, serangan ini menimbulkan kerugian di berbagai organisasi di Indonesia. Tahun 2023 misalnya, ransomware LockBit 3.0. menyerang Bank Syariah Indonesia, melumpuhkan layanan dan membocorkan data sensitif secara besar-besaran. Jumlah data yang dibocorkan sekitar 1,5 terabyte data, termasuk informasi pribadi 15 juta nasabah dan lebih dari 24.000 karyawan BSI.

Namun, salah satu kasus terbesar serangan ransomware di Indonesia adalah pembobolan Pusat Data Nasional Sementara (PDNS) akibat ransomware Lockbit 3.0 pada Juni 2024. Serangan ini menyebabkan 282 layanan instansi pemerintahan mengalami gangguan, mulai dari layanan imigrasi hingga Penerimaan Peserta Didik Baru (PPDB) di tingkat sekolah.

Awalnya, serangan diidentifikasi dengan adanya upaya menonaktifkan fitur keamanan Windows Defender. Setelah itu, aktivitas-aktivitas mencurigakan—seperti instalasi file berbahaya, penghapusan file penting, dan pemberhentian layanan yang masih aktif—semakin sering terjadi. Pakar keamanan siber menyebut lemahnya pertahanan siber sebagai penyebab utama serangan ini.

Mengapa ransomware membutuhkan perhatian penuh?

Setiap organisasi sebaiknya memberi perhatian serius terhadap ransomware. Tata kelola ransomware harus dijadikan sebagai salah satu prioritas organisasi. Hal ini menjadi semakin krusial karena alasan-alasan berikut.

Ransomware itu mahal

Ransomware bukan hanya mengancam data, tetapi juga menguras biaya besar. Berdasarkan laporan dari Forrester, organisasi APAC menghabiskan sekitar $3.2 juta untuk menangani ransomware. Jumlah ini lebih rendah daripada Eropa ($3.3 juta), namun jauh lebih tinggi daripada Amerika Utara ($2.9).

Mengapa bisa begitu mahal? Sebab, kerugian ransomware datang dari berbagai sisi. Jika penyerang meminta tebusan, Anda punya pilihan untuk membayarnya. Nilainya beragam, tergantung pada jumlah dan nilai data yang dicuri. Namun, yang mengkhawatirkan, nilai tebusan terus melonjak tiap tahunnya—bahkan dalam satu tahun terakhir meningkat drastis hingga 500%, dari $400.000 di tahun 2023 menjadi $2 juta pada 2024.

Bagaimana jika Anda tidak mau membayar tebusan? Tetap saja, ada harga yang perlu dibayar. Beberapa organisasi memilih untuk tidak membayar tebusan, namun mereka tetap mengeluarkan banyak biaya. Itu karena mereka mengeluarkan uang untuk biaya pemulihan data, backup, komunikasi media, gangguan operasional, hingga jasa konsultan keamanan.

Ransomware itu sering terjadi

Berdasarkan laporan Forrester, 26% organisasi di Asia Pasifik mengalami ransomware pada tahun 2024. Persentase ini adalah yang terbanyak, jika dibandingkan dengan region lain seperti Eropa (14%) dan Amerika Utara (17%).

Salah satu pendorong tingginya ransomware di Asia Pasifik adalah laju digitalisasi. Di balik kepraktisan digitalisasi, ternyata ada bahaya ransomware yang mengintai. Nyatanya, semakin digital suatu organisasi, kemungkinan terkena ransomware juga semakin besar.

Digitalisasi berarti lebih banyak sistem, aplikasi, dan data yang terhubung secara online. Hal ini menciptakan lebih banyak attack surface, atau titik masuk yang bisa dimanfaatkan penyerang untuk mengeksploitasi celah keamanan. Semakin besar attack surface, semakin banyak pula celah potensial yang bisa dimanfaatkan untuk melancarkan serangan.

Ransomware semakin berkembang

Penggunaan teknologi yang seharusnya dimanfaatkan organisasi untuk membawa kebaikan, ternyata juga dimanfaatkan oleh pelaku ransomware. Penggunaan tool AI misalnya, dimanfaatkan oleh grup ransomware FunkSec untuk melakukan aksi mereka. Grup ini memanfaatkan AI untuk membuat code yang canggih dan mampu menghindari deteksi. Penggunaan AI dalam ransomware dinilai memudahkan operasi, sehingga ransomware dapat lebih mudah dilakukan dan menjaring korban.

Ransomware menganggu layanan

Ransomware memungkinkan Anda kehilangan data organisasi yang berharga. Untuk mengembalikan data tersebut, Anda memiliki dua opsi: melakukan pemulihan dari database backup atau terpaksa membayar tebusan.

Jika memilih opsi pertama, Anda perlu menentukan waktu backup yang tepat agar pengalaman pengguna dan karyawan tidak terganggu. Namun, jika memiih opsi kedua, Anda harus siap menerima risiko. Sebab, tidak ada jaminan data dapat kembali meskipun tebusan sudah dibayar. Kalau pun dikembalikan, data bisa jadi tidak lengkap atau corrupt.

Secara keseluruhan, kehilangan atau tidak bisanya data diakses selama serangan ransomware dapat mengganggu layanan organisasi. Misalnya, pelanggan yang tidak dapat mengakses datanya bisa mengalami frustrasi dan membanjiri tim support Anda dengan tiket permintaan bantuan. Proses layanan pun jadi terhenti atau melambat drastis, menyebabkan penurunan produktivitas dan kerusakan reputasi di mata publik.

Bagaimana cara terbaik menangani ransomware di organisasi?

Penanganan ransomware mencakup tata kelola komprehensif yang terdiri atas langkah-langkah pencegahan, respons saat insiden terjadi, hingga penanganan dampak pasca serangan. Berikut ini adalah penjelasan lebih detail tentang tiga tahap penanganan ransomware tersebut.

Pencegahan ransomware

Sebelum ransomware terjadi, lakukanlah langkah-langkah berikut untuk mencegahnya:

1. Membangun postur keamanan siber yang kuat

Langkah pertama mencegah ransomware adalah memperkuat sistem keamanan secara menyeluruh. Hal ini mencakup penggunaan firewall, antivirus, software deteksi ransomware seperti DataSecurity Plus, dan tool filter email. Selain itu, semua perangkat lunak harus juga harus diperbarui secara berkala untuk menutup celah keamanan (vulnerability) yang bisa dimanfaatkan oleh pelaku ransomware.

2. Mengadakan security awareness training

Phishing adalah salah satu metode populer dalam penyebaran ransomware. Sayangnya, masih banyak orang yang terkena jeratan phishing. Oleh karena itu, security awareness training untuk karyawan sangat penting, terutama dalam mengenali email mencurigakan, attachment berbahaya, atau link palsu.

3. Menerapkan patch management

Ransomware sering memanfaatkan vulnerability pada sistem operasi atau aplikasi. Dengan menggunakan solusi patch management seperti Patch Manager Plus, organisasi bisa mendeteksi, menguji, dan menginstal patch keamanan secara otomatis dan terjadwal.

4. Mengelola akses dengan aman

Akses ke resource penting dalam organisasi perlu dikelola agar tetap aman. Caranya adalah membatasi akses pengguna hanya pada data dan sistem yang mereka perlukan dan mengelola akun dengan hak akses (privilege) tinggi secara ketat menggunakan solusi PAM.

5. Mencadangkan data secara rutin

Backup harus dilakukan secara rutin dan disimpan di berbagai media penyimpanan, tergantung pada tingkat kepentingan data. Semakin krusial data tersebut, semakin tinggi pula performa media penyimpanan yang dibutuhkan agar proses backup dan pemulihan berjalan optimal. Anda bisa mengombinasikan media penyimpanan on-premise, off-site data center, dan cloud.

Respons saat terjadi ransomware

Bagaimana jika ransomware sudah terlanjur terjadi? Ini langkah penanganan yang bisa Anda ambil:

1. Konsultasi dengan jajaran eksekutif dan tim terkait

Saat terjadi ransomware, komunikasi yang transparan perlu diterapkan dalam ruang lingkup internal. Tak hanya dengan tim yang menangani keamanan IT, tetapi juga dengan jajaran eksekutif. Sebagai pimpinan, keputusan mengenai langkah penanganan selanjutnya perlu diambil, misalnya apakah akan membayar tebusan, memulihkan data sendiri dari backup, atau mengembangkan decryptor sendiri.

2. Mengaktifkan incident response plan

Organisasi seharusnya memiliki incident response plan. Dalam rencana ini, biasanya terdapat prosedur eskalasi kepada tim IT atau SOC (Security Operations Center), dokumentasi langkah-langkah yang diambil, dan anjuran untuk tidak langsung mematikan sistem karena bisa menghilangkan jejak penting untuk forensik.

3. Menganalisis dampak dan identifikasi ransomware

Gunakan tool forensik untuk mengidentifikasi jenis ransomware, vektor serangan, dan cakupan infeksi. Informasi ini akan membantu menentukan apakah data bisa dipulihkan tanpa membayar tebusan, dan apakah ada decryptor publik yang tersedia.

Penanganan dampak ransomware

Usai ransomware, tugas Anda belum selesai. Kini, waktunya melakukan evaluasi agar ransomware tidak terjadi lagi.

1. Memulihkan sistem dari backup

Jika backup tersedia, mulai proses pemulihan data dan sistem secara bertahap. Saat melakukan backup, penting untuk mempertimbangkan waktu pemulihan agar tidak mengganggu pengalaman pengguna akhir.  Adapun jika ransomware menyebabkan gangguan layanan, prioritaskan pemulihan dataset paling krusial terlebih dahulu agar layanan bisnis bisa segera dilanjutkan.

2. Mengevaluasi insiden

Lakukan investigasi menyeluruh untuk memahami akar penyebab insiden, titik lemah sistem, bagaimana ransomware bisa menyusup, serta tingkat keberhasilan mitigasi ransomware yang dilakukan. Hasil evaluasi ini harus dijadikan dasar membuat panduan untuk memperkuat sistem agar insiden tidak terulang.

3. Merevisi kebijakan keamanan

Gunakan pengalaman saat menangani insiden ransomware untuk menyempurnakan kebijakan keamanan. Hal-hal yang perlu diperbaiki misalnya pengetatan kontrol akses, penguatan prosedur update software, hingga peningkatan anggaran keamanan.