Ransomware didefinisikan sebagai virus yang menyerang sistem komputer. Pada awal kemunculannya ransomware sudah menjadi ancaman yang serius bagi dunia global, menyerang banyak sektor industri dari banyak negara tanpa tebang pilih. Modusnya jelas, virus ini dijadikan sebagai alat untuk mendapatkan tebusan dengan sejumlah dana, jika tidak maka resiko akan kehilangan data atau kerusakan pada sistem komputer.
Apakah Ransomware Menjangkiti BSI?
Beberapa hari terakhir, berita nasional diramaikan dengan down-nya layanan perbankan dari salah satu Bank di Indonesia. Sebut saja BSI atau Bank Syariah Indonesia, yang sampai saat artikel ini ditulis belum ada pernyataan resmi langsung dari pihak terkait tentang kebenaran dari isu yang sedang hangat ini.
Namun para ahli mulai berspekulasi karena melihat waktu recovery yang lebih dari 1 hari (Dimulai dari tanggal 8 Mei 2023), mengerucutkan spekulasi yang mengarah kepada serangan Ransomware, bukan sekedar down time pemeliharaan.
Beberapa layanan terpaksa tidak bisa berjalan optimal, transaksi keuangan tidak bisa dilakukan pada mesin ATM maupun mobile banking. Tentu saja hal ini, membuat sebagian masyarakat bertanya – tanya, berapa lama lagi layanan akan kembali normal. Hal tersebut karena perputaran keuangan nasabah menjadi terganggu dan dapat menyebabkan kerugian bagi sebagaian kalangan.
Bagaimana Cara Kerja Ransomware
Ransomware memiliki banyak varian dan jenisnya, namun secara umum cara kerjanya sama. Ketika Ransomware terinstall ke dalam komputer dan berjalan dibackground sistem, dia akan menduplikasikan dirinya untuk menjangkiti dan mengunci seluruh file yang ia temukan. Berjalan secara mandiri disetiap proses booting sistem operasi dan memblok aktivitas user serta menampilkan pesan untuk melakukan pembayaran jika ingin mengembalikan semua file yang telah terjangkit virus ini seperti semula dan agar dapat digunakan kembali.
Untuk melakukan mitigasi terhadap kasus seperti ini, sebuah organisasi harus telah siap sebelumnya dalam hal management resiko IT-nya. Backup menjadi hal yang utama, baik itu backup network dari server yang bisa dialihkan serta mengisolasi DMZ dari server yang telah terserang dengan kondisi Alamat network yang tentu harus berbeda. Serta backup file berkala, agar tidak ada masalah dengan kondisi file yang telah terjangkit.
Organisasi harus mampu menerapkan Incident Handler dengan baik, meyiapkan jalan keluar yang benar serta menyiapkan back up dan pemulihan secara cepat. Karena ini terkait dengan kepercayaan dari para nasabah dan stakeholder. Organisasi akan berpacu dengan waktu karena semakin lama mengambil keputusan semakin merusak sistem yang ada. Mengenai Incident Handler ini sudah saya coba bahas pada artikel sebelumnya di link berikut ini.
Seiring kemajuan teknologi, penulusuran pelaku penyerangan ransomware menjadi lebih rumit. Pelaku saat ini gemar menggunakan sistem pembayaran blockchain agar tidak mudah untuk dilacak. Namun, hal ini masih bisa disiasati jika organisasi telah mature dalam mempersiapkan IT Policy yang digunakan. Akan ada petunjuk aktivitas anomali dari alamat network yang bukan merupakan alamat whitelist yang digunakan. Lebih dalam proses analisis dapat dilakukan dengan menggunakan pendekatan Digital Forensic, inipun dengan catatan setelah sistem dapat diisolasi dengan baik. Mengingat butuh waktu untuk menyelesaikannya tahap demi tahap.
Breakdown Aktivitas Ransomware di Indonesia.
Terlepas dari kebenaran bahwa Ransomware yang telah menyerang BSI atau bukan, sebelum terdapat pernyataan resmi kami tidak berani untuk ikut berspekulasi. Tapi kami telah mencoba melakukan breakdown atas aktivitas serangan ransomware yang terjadi di Indonesia selama satu minggu terakhir, termasuk pada tanggal 8 Mei 2023.
Untuk melakukannya kami mencoba menggunakan Kapersky Cybermap. Berikut adalah tangkapan layarnya.
Dalam statistik diatas bisa kita lihat serangan Ransomware ke Indonesia dalam satu minggu terakhir didominasi dengan varian Trojan-Ransom.Win32.Blocker.jxbh sebanyak 58,04%. Kemudian berikut ini adalah deskripsi dari Kapersky tentang Ransomware varian ini.
Dari deskripsi diatas, dapat dilihat bahwa varian ransomware yang banyak menyerang ini sesuai dengan penjelasan cara kerja ransomware yang telah kami paparkan sebelumnya.
Banyak hal yang harus dilakukan ketika organisasi mengalamani situasi seperti ini, yang pasti organisasi akan mengalami masa – masa yang sulit dan berat bahkan dapat mengancam keberlangsungan dari sustainable bisnis yang ada. Banyak pihak di organisasi yang harus dilibatkan bukan hanya Team IT, namun juga melibatkan Public Relations agar dapat meredam tekanan dari luar organisasi dengan baik sehingga tidak mengganggu kinerja didalam organisasi dan menenangkan stakeholder yang mungkin resah.
Semoga ini dapat menjadi pelajaran yang baik bagi banyak organisasi dan institusi nasional pentingnya mengetahui bagaimana cara untuk bertahan di era teknologi yang terus berkembang. Organisasi harus mampu menerapkan IT Policy yang prima dengan menghadirkan Infrastruktur dan Manegement IT yang mumpuni demi memberikan layanan terbaik bagi stakeholdernya.
IT Security and Digital Forensics Enthusiast
