Sementara banyak bisnis dan pengguna individual mengerti bahwa uang tebusan bukanlah ancaman baru, banyak yang tidak benar-benar tahu berapa lama gaya infeksi tertentu ini telah dimanfaatkan oleh peretas. Serangan pertama terjadi lebih dari satu dekade yang lalu, dan sejak saat itu, penulis ransomware hanya menjadi lebih canggih dan kreatif saat membuat penguncian lanjutan atau mengenkripsi sampel infeksi.
Peracikan masalah sampel yang semakin berbahaya adalah fakta bahwa pelaku jahat di balik serangan tersebut sekarang menuntut uang tebusan yang lebih tinggi – dan, dalam beberapa kasus, bahkan setelah uang tebusan sangat mahal dibayarkan, file dan data tetap tidak dapat diakses untuk menyerang korban.
Karena langkah pertama menuju perlindungan dan pencegahan adalah pengetahuan, sangat penting bahwa pemimpin perusahaan dan karyawan memahami ancaman yang merajalela ini. Hari ini, kita melihat lebih dekat sejarah dan evolusi ransomware.
Sejarah awal: Serangan pertama
Menurut makalah penelitian Trend Micro, Ransomware: Past, Present and Future, beberapa infeksi ransomware paling awal terjadi lebih dari 10 tahun yang lalu pada tahun 2005 dan 2006. Kasus ini melibatkan korban di Rusia, menggunakan kompresi untuk mencegah akses ke file yang dilindungi dengan aman. pada titik akhir korban. Infeksi ini juga termasuk upload file ke komputer korban untuk mempresentasikan catatan tebusan, yang menuntut $ 300 untuk akses kembali ke data dan file.
Sampel ransomware awal ini tidak beroperasi dengan cara yang dilakukan sampel hari ini. Seringkali, ransomware pervasive yang biasa kita dengar hari ini termasuk dalam salah satu dari dua kategori – mengunci uang tebusan, atau mengenkripsi uang tebusan. Dalam kedua kasus tersebut, korban tidak dapat membuka dan mengambil file dan data. Per nama mereka, mengunci ransomware mengunci sistem operasi dan mencegah akses seperti itu, sementara mengenkripsi ransomware memanfaatkan algoritma enkripsi yang kuat dan kemudian menuntut tebusan untuk kunci dekripsi.
Sampel ransomware pertama, bagaimanapun, hanya mampu mengunci file tertentu, namun para pembuat malware memastikan bahwa kode berbahaya mereka menargetkan beberapa jenis yang paling umum digunakan, termasuk .JPG, .PDF, .ZIP dan .DOC.
Menuju arus utama: Pemberitahuan tebusan yang memicu ketakutan
Maju cepat beberapa tahun, dan uang tebusan menjadi semakin canggih dan berdampak. Pada tahun 2012, kami melihat beberapa infeksi pertama yang mencari keuntungan karena takut pembayaran. Pada tahun 2012, penyerang di Rusia dan Eropa menggunakan tipu muslihat yang melibatkan catatan uang tebusan yang tampaknya merupakan peringatan yang sah dari penegak hukum. Taktik ini membuat korban yakin mereka telah melanggar hukum, dan harus membayar denda untuk menyelesaikan masalah tersebut.
Strategi berbasis rasa takut ini digunakan selama bertahun-tahun, dan bahkan berhasil masuk ke platform mobile. Pada tahun 2015, kontributor Register John Leyden menulis tentang sampel ransomware Android yang menampilkan pesan peringatan yang muncul dari FBI.
“Layar utama perangkat memberikan pesan palsu yang mengkhawatirkan dari FBI yang memberitahu pengguna bahwa mereka telah melanggar undang-undang dengan mengunjungi situs-situs porno. Untuk membuat pesan lebih menarik, peretas menambahkan tangkapan layar dari riwayat penjelajahan yang disebut. Peringatan menjadi lebih menakutkan karena klaim tersebut untuk memiliki tangkapan layar wajah korban dan mengetahui lokasinya, “kata ahli strategi keamanan BitDefender Catalin Cosoi kepada Leyden.
Terlebih lagi, sampel ini memiliki kemampuan untuk menaikkan harga tebusan berdasarkan tanggapan korban – sementara uang tebusan awal berada di $ 500, peretas menuntut $ 1.500 dari mereka yang berusaha melewati FBI yang salah dan membuka perangkat mereka. Jenis ransomware ini jauh berbeda dari sampel awal, yang sangat mendasar perbandingannya.
Crypto-ransomware meledak ke tempat kejadian
Seiring berjalannya waktu, pembuat malware menggunakan metode yang semakin merusak untuk mendorong korban membayar. Pada tahun 2013, hacker tidak hanya mengunci file dan mencegah akses dengan tuntutan tebusan di layar. Ini adalah tahun dimana sampel kripto-ransomware muncul, yang memiliki kemampuan untuk menghilangkan data sekaligus menguncinya.
“Ancaman ini tidak lagi hanya file terenkripsi, ia mulai menghapus file jika korban menolak untuk membayar,” Trend Micro mencatat. “Untuk mendapatkan kembali file, korban diminta untuk membayar sejumlah uang tebusan dalam bentuk Bitcoin dengan imbalan kunci dekripsi.”
“Menghilangkan data bisa berarti keruntuhan perusahaan, sehingga korban sangat termotivasi untuk membayar.”
Jenis uang tebusan ini sangat berdampak ketika sampai pada bisnis yang tidak aman dan tidak siap – menghilangkan data dalam jenis pengaturan ini bisa berarti keruntuhan perusahaan, sehingga korban sangat termotivasi untuk membayar.
Tuntutan tebusan sekunder
Kami bahkan pernah melihat contoh di mana organisasi membayar uang tebusan, namun hasil yang diinginkan – akses kembali ke file dan data – tidak benar-benar terjadi. Pada tahun 2016, kontributor Healthcare IT News Bill Siwicki melaporkan tentang infeksi ransomware yang terjadi di sebuah rumah sakit di Kansas. Dalam kasus ini, institusi perawatan kesehatan membayar uang tebusan awal, namun tidak menerima data yang tidak terkunci seperti yang dijanjikan – sebagai gantinya, peretas menuntut uang tebusan kedua, yang tidak dibayar oleh rumah sakit tersebut.
“Permintaan dana melonjak, dan masalahnya adalah organisasi membayar. Ransomware akan menjadi lebih buruk sebelum membaik,” kata Vice President Fortinet Ryan Witt. “Anda tidak ingin memikirkan pengembalian investasi karena berkaitan dengan aktivitas kriminal, tapi ada ROI yang kuat, dan penyerang ini cukup canggih dan tahu ada uang yang harus dibuat.”
Sebuah permukaan serangan global: WannaCry dan Petya
Satu keluarga yang pastinya tidak akan menjadi catatan kaki dalam evolusi ransowmare adalah WannaCry. OMS menyebut infeksi tersebut sebagai “badai ransomware yang sempurna,” dan dengan jangkauan yang luas dan korban tinggi, tidak sulit untuk memahami mengapa.
WannaCry tersebar di berbagai jaringan di berbagai negara pada bulan Mei 2017 dan dengan cepat menjadi salah satu ancaman ransomware paling meluas sampai saat ini. Sampel memanfaatkan kerentanan Windows EternalBlue yang bocor oleh kelompok hacking Shadow Brokers, dan menyerang bisnis, penyedia layanan kesehatan, perusahaan utilitas dan organisasi lainnya di Eropa, Jepang dan sekitarnya.
Setelah mengikuti jejak WannaCry adalah Petya, yang oleh The Guardian menunjukkan, merupakan serangan ransomware global terbesar kedua yang terjadi dalam waktu delapan minggu yang singkat. Petya juga memanfaatkan kerentanan Windows yang sama, namun memiliki rencana cadangan jika ada patch yang dipasang – ransomware juga dapat mencari kelemahan pada alat administrasi Windows untuk memacu serangan.
Di cakrawala: Apa selanjutnya untuk uang tebusan?
Para ahli tidak melihat berakhirnya uang tebusan kapan saja dalam waktu dekat. Kenyataannya, Trend Micro memperkirakan dalam 2018 Security Predictions melaporkan bahwa ransomware “hanya akan diantisipasi untuk melakukan putaran lebih jauh,” terutama karena munculnya ransomware-as-a-service di pasar bawah tanah menjadi lebih populer.
Di lingkungan di mana ransomware terus menjadi ancaman berbahaya, bisnis dan pengguna individual harus melindungi data dan aset mereka dengan solusi keamanan multi-lapis ditambah dengan backup yang kuat.