Tahun 1989. “Rain Man” memenangkan Academy Award untuk Film Terbaik. Motorola merilis ponsel terkecil dan teringan di dunia. Tembok Berlin runtuh. Taylor Swift lahir.
Hal ini juga menandai dimulainya era baru pemerasan dunia maya.
“Trojan AIDS” datang tanpa diketahui, disebarkan melalui disket kepada para profesional kesehatan masyarakat. Namun, trojan ini menyimpan kejutan yang tidak mengenakkan. Setelah tahun 90-anth Saat PC di-boot ulang, hard drive korban terkunci secara kriptografis, dan diminta membayar sebesar $189 untuk membuka kunci file.
Meskipun serangan ini berhasil digagalkan dengan mudah, namun hal itu mengubah permainan. Selama 30 tahun berikutnya, ransomware berkembang biak dari rasa ingin tahu menjadi ancaman dahsyat yang dipicu oleh perlombaan senjata yang tiada henti antara pemeras dan tim keamanan.
Hari-hari awal ransomware
Trojan AIDS memicu intrik global, tetapi ransomware sebagian besar mengintai sebagai eksperimen di kalangan penjahat kelas kakap selama dekade berikutnya. Serangan awal mengandalkan teknik dasar seperti penguncian berkas sederhana, enkripsi dasar, dan penagihan pembayaran manual. Jangkauan tetap terbatas tanpa vektor serangan yang efisien.
Kemudian, internet muncul dengan cepat. Konektivitas global menyediakan suntikan penting yang dibutuhkan ransomware untuk berubah dari sesuatu yang baru menjadi ancaman yang nyata. Meningkatnya penyebaran sistem jaringan membawa masuknya banyak target dan saluran untuk menjangkaunya.
Serangan baru seperti strain Archievus pada pertengahan tahun 2000-an — ransomware pertama yang menggunakan enkripsi RSA tingkat lanjut — mencerminkan evolusi ini, menyebar melalui email malware untuk mengenkripsi file pada mesin yang terinfeksi. Permintaan tebusan tidak terlalu besar saat itu, tetapi dengan semakin sulitnya dekripsi, para korban merasakan tekanan yang semakin besar untuk mematuhinya.
Demam emas ransomware
Pada akhir tahun 2000-an, para pembuat ransomware yang berfokus pada keuntungan menyaksikan peningkatan laba dari jaringan infeksi yang lebih besar dan mata uang kripto yang memungkinkan pembayaran anonim. Melihat adanya peluang, mereka berinvestasi besar-besaran pada perangkat dan infrastruktur baru untuk meraup keuntungan lebih tinggi dari basis korban yang berkembang pesat.
Mentalitas demam emas ini memicu perkembangan yang mengejutkan pada tahun 2011-2012, seperti CryptoLocker yang canggih, yang menginfeksi hampir 250.000 korban dalam beberapa bulan pertama dibantu oleh botnet dan layanan pencucian uang. CryptoLocker rata-rata membayar tebusan sebesar $300 — terkadang mencapai $700 — dilaporkan menghasilkan lebih dari $27 juta bagi operator dalam dua bulan pertama. Yang lain memperhatikan formula yang mengganggu dan menguntungkan ini.
Yang terjadi selanjutnya adalah peningkatan eksponensial dari jenis ransomware yang semakin licik dan formalisasi ransomware sebagai perusahaan kriminal profesional yang diarahkan pada efisiensi dan skala.
Revolusi RaaS
Eskalasi awal tahun 2010-an mendatangkan keuntungan besar bagi kelompok ransomware mapan tetapi juga perhatian yang tidak diinginkan dari pihak berwenang. Pengembang yang cerdas beradaptasi dengan membuat perangkat ransomware dan menyewakannya kepada peretas pemula daripada secara langsung mengatur serangan.
Model ransomware-sebagai-layanan (RaaS) ini memberikan paket ransomware siap pakai kepada calon pelaku kejahatan dunia maya dengan imbalan sebagian dari hasil penjualannya.
RaaS membanjiri dunia kriminal dengan jenis ransomware plug-and-play yang murah yang dapat digunakan oleh mereka yang memiliki keterampilan teknis terbatas. Pelaku ancaman yang tidak berpengalaman dapat dengan mudah mengirim email phishing, membeli iklan untuk menyebarkan infeksi, atau memindai sistem yang belum ditambal daripada melakukan intrusi canggih sendiri.
Jumlah korban dan pembayaran melonjak seiring dengan afiliasi pemula yang menimbulkan kekacauan dengan perangkat ransomware yang canggih — mencapai penghematan keterampilan yang tak terbayangkan secara individual. RaaS dengan kuat mengukuhkan ransomware dalam repertoar kriminal arus utama.
Serangan tingkat lanjut dan tertarget
Skema ransomware canggih muncul secara berbahaya pada tahun 2020-an, menampilkan metodologi tingkat lanjut dan penargetan korban yang luas.
Conti, yang muncul pada tahun 2020, diperkirakan memiliki sekitar 350 anggota yang bersama-sama memperoleh lebih dari $2,7 miliar dalam mata uang kripto hanya dalam waktu dua tahun. Pada bulan Juni 2021, geng REvil mengekstraksi $11 juta dari JBS Meats dengan memanfaatkan lelang data curian di web gelap untuk menekan perusahaan sekaligus menuntut tebusan sebesar $50 juta.
Meningkatnya tuntutan dan kerugian yang disebabkan oleh kelompok-kelompok ini — dan kelompok-kelompok terkait — memperkuat perubahan dari penargetan yang meluas dan oportunistik menjadi “perburuan hewan besar” yang direncanakan dengan cermat. Penyerang kontemporer dengan hati-hati memilih organisasi dan infrastruktur bernilai tinggi untuk dilumpuhkan hingga tebusan yang besar dibayarkan — sering kali lebih dari tujuh angka untuk perusahaan besar, rumah sakit, jaringan pipa, dan kotamadya.
Teknik kelompok ransomware masa kini mencerminkan profesionalisasi taktik yang mengerikan. Mereka memanfaatkan enkripsi tingkat militer, mata uang kripto yang menyembunyikan identitas, upaya sampingan pencurian data, dan pengujian penetrasi korban sebelum serangan untuk menentukan toleransi maksimum. Peretas sering kali memperoleh akses awal dengan membeli akses ke sistem dari broker bawah tanah, kemudian menyebarkan skema pemerasan multi-bagian, termasuk ancaman serangan penolakan layanan terdistribusi (DDoS), jika tuntutan tidak segera dipenuhi.
Pelaku ransomware juga memanfaatkan kemajuan seperti kecerdasan buatan (AI) untuk mempercepat serangan melalui pembuatan kode berbahaya, komunitas web gelap bawah tanah untuk mengoordinasikan skema, dan pasar akses awal untuk mengurangi biaya overhead.
Bagaimana taktik ransomware terus berkembang
Kelompok ransomware terus berinovasi dalam metode serangan mereka.
Serangan pada rantai pasokan semakin umum terjadi. Dengan membahayakan satu pemasok perangkat lunak, penyerang dapat mengakses jaringan ribuan pelanggan hilir. Kelompok REvil Serangan Kaseya pada tahun 2021 mencontohkan hal ini, yang memengaruhi antara 800 hingga 1.500 bisnis melalui kerentanan dalam perangkat lunak VSA Kaseya.
Pialang akses awal juga menjadi pendorong utama operasi ransomware. Pialang ini mengkhususkan diri dalam mendapatkan akses ke jaringan perusahaan dan kemudian menjual akses tersebut kepada penawar tertinggi. Hal ini memungkinkan kelompok ransomware untuk melakukan outsourcing intrusi awal dan dengan cepat meningkatkan skala serangan mereka.
Kerentanan zero-day, kelemahan yang tidak diketahui oleh vendor perangkat lunak, adalah alat favorit lainnya. Kelompok seperti DarkSide — yang bertanggung jawab atas Serangan Pipa Kolonial — telah memanfaatkan taktik ini untuk menyebarkan ransomware sebelum korban dapat menambal sistem mereka.
Pemerasan ganda, di mana penyerang mengenkripsi file Dan mencuri data sensitif, mengancam akan membocorkannya, kini menjadi norma. Maze memelopori hal ini pada akhir tahun 2019, dan hampir semua jenis kejahatan telah mengadopsinya, sehingga memberikan tekanan tambahan pada korban untuk membayar.
Kelompok ransomware sering kali mengubah nama atau mengganti jenis ransomware untuk menghindari deteksi dan sanksi. DarkSide menjadi BlackMatter setelah Colonial Pipeline, sementara operator Ryuk beralih ke Conti. Permainan tipu daya ini membuat para pembela semakin sulit untuk bertahan.
Cara melindungi dan mempersiapkan
Karena serangan ransomware tidak menunjukkan tanda-tanda melambat, Anda harus mengambil langkah proaktif untuk melindungi organisasi Anda dan meminimalkan dampak pelanggaran potensial.
Pencegahan adalah kuncinya. Selalu perbarui semua sistem dan perangkat lunak Anda, gunakan kata sandi yang kuat dan unik, aktifkan autentikasi multi-faktor (MFA), dan cadangkan data penting Anda secara teratur. Jangan lupa untuk latih karyawan Andakarena banyak insiden dimulai dengan email phishing atau serangan rekayasa sosial.
Anda juga harus fokus pada ketangguhan Dan pemulihanMiliki rencana respons insiden yang terencana dengan baik yang menguraikan prosedur yang jelas untuk menangani serangan, termasuk mengisolasi sistem yang terinfeksi, memberi tahu pemangku kepentingan, dan memulihkan dari cadangan.
Pastikan Anda memiliki rencana komunikasi untuk mengelola pesan internal dan eksternal selama dan setelah serangan. Ini dapat membantu meminimalkan kerusakan reputasi dan membuat semua orang tetap terinformasi.
Uji proses pencadangan dan pemulihan secara berkala untuk memastikannya berfungsi saat dibutuhkan. Dan terus perbarui proses tersebut saat lingkungan produksi dan prioritas bisnis Anda berubah. Pertimbangkan untuk berinvestasi dalam asuransi siber untuk membantu menutupi biaya yang terkait dengan serangan, tetapi tinjau dengan cermat ketentuan polis.
Perlindungan terhadap ransomware memerlukan pendekatan holistik berlapis yang mencakup orang, proses, dan teknologi.
Membangun masa depan yang tangguh
Perkembangan ransomware selama tiga dekade terakhir telah menjadi bukti mengerikan akan kecerdikan dan kemampuan beradaptasi para pelaku kejahatan dunia maya. Dari serangan rantai pasokan hingga pemerasan ganda, taktik yang digunakan semakin licik dan konsekuensinya semakin parah.
Namun, pertempuran ini masih jauh dari selesai. Ransomware mungkin terus berkembang, tetapi begitu pula pertahanan kita. Dengan tekad, kolaborasi, dan pendekatan proaktif, kita dapat memastikan bahwa babak selanjutnya dalam kisah ransomware adalah tentang ketahanan, bukan kehancuran.