Oleh: Dean Houari, Director of Security Technology & Strategy, APJ, Akamai Technologies.
[Redaksi]Penumpasan geng ransomware LockBit tentu menjadi kabar yang menggembirakan mengingat keganasan serangan yang mereka lancarakan dalam beberapa tahun terakhir ini. Namun apakah penumpasan ini mengindikasikan bahwa ancaman ransomware akan berakhir? Ada cara yang lebih efektif untuk mengakhiri serangan ini.
Kabar menggembirakan datang dari satuan tugas (satgas) penegakan hukum internasional yang terdiri dari para penegak hukum dari 10 negara. Mereka mengumumkan keberhasilannya menumpas geng ransomware yang dikenal dengan nama LockBit. Geng ini begitu merajalela dan disebut-sebut ada di balik ribuan serangan ransomware di seluruh dunia, termasuk di Indonesia.
Geng Lockbit ini terbilang amat produktif dan mengeklaim telah memakan lebih dari 2.000 korban di seluruh dunia serta meraup lebih dari US$120 juta atau sekitar Rp1,8 triliun dari hasil pembayaran tebusan (ransom). Dalam sebuah operasi besar-besaran yang diberi nama Operasi Cronos, satgas yang dipimpin oleh otoritas Inggris dan Amerika Serikat itu menyatakan telah menyita sejumlah situs yang dijalankan LockBit di darknet.
Nama LockBit memang bukan kaleng-kaleng. Geng ini telah menimbulkan ketakutan di kalangan perusahaan dan pemerintahan di seluruh dunia. Menurut hasil penelitian Akamai, LockBit berkontribusi terhadap sebagian besar serangan ransomware. Mereka berada di balik serangan ransomware yang meliputi 39% dari total korban ransomware (1.091 korban) dan tiga kali lipat lebih dari yang dicapai oleh geng ransomware nomor dua di dunia.
Sejak Januari 2020, LockBit bertanggung jawab atas ratusan serangan di kawasan Asia Pasifik yang menargetkan perusahaan-perusahaan di industri layanan keuangan, infrastruktur vital, pertanian, pendidikan, dan pemerintahan. Di Indonesia, pada Mei tahun lalu misalnya, ransomware LockBit 3.0 diduga berada di balik pembobolan 1,5TB data nasabah Bank Syariah Indonesia (BSI).
Di Jepang, LockBit selama dua hari menutup pelabuhan terbesar di Nagoya, Jepang, yang digunakan oleh produsen mobil terbesar di negeri Sakura itu. Dengan cara serupa, LockBit mengenkripsi sistem TI di pelabuhan terbesar di Australia, sehingga mengganggu operasinya. Dampaknya sangat parah sehingga LockBit sampai meminta maaf dan memberikan kunci dekripsi untuk memulihkan layanan.
LockBit juga memungkinkan perekrutan peretas berteknologi rendah dengan ransomware mereka sebagai service tools untuk memperbesar skala, jangkauan, dan kerusakan yang disebabkan oleh serangan ransomware LockBit khas mereka. LockBit dengan bangga mempermalukan orang-orang yang menolak membayar uang tebusan dengan membocorkan data sensitif mereka agar dapat dilihat semua orang.
Operasi Cronos sendiri sempat menimbulkan drama ketika pemimpin terkenal LockBitSupp melakukan trolling terhadap operasi Cronos dan melempar sindiran soal kecilnya hadiah yang disediakan untuk kepalanya. Ia bahkan menawarkan hadiah US$10 juta untuk dirinya karena merasa diremehkan. Identitas asli LockBitSupp sendiri masih jadi misteri hingga kini.
Drama ini tak membuat satgas operasi Cronos mengendurkan operasinya. Mereka akhirnya mengumumkan keberhasilan operasi tersebut dalam menumpas geng LockBit. Ini ditandai pula dengan pembagian kunci decryptor oleh sejumlah situs pembocor data yang ada di darknet kepada mereka yang tak mau membayar tebusan. Kepolisian Jepang, didukung oleh Europol, juga telah mengembangkan tools untuk melakukan dekripsi terhadap file-file yang dienkripsi oleh LockBit 3.0 Black Ransomware.
Otoritas memang bermaksud mengirimkan pesan yang jelas kepada seluruh geng ransomware bahwa mereka tidak lagi bisa bersembunyi di balik Tor untuk menghindari pengawasan di dark web. Pada akhirnya, mereka harus bertanggung jawab atas perbuatannya itu.
Penumpasan ini memang tegas dan berani, dan merupakan hasil kolaborasi dari otoritas di banyak negara. Tapi apakah penumpasan ini mengindikasikan bahwa ancaman ransomware akan berakhir? Mengandalkan satuan tugas multinasional untuk menumpas ransomware dan mendapatkan kunci decryptor bukanlah strategi keamanan yang efektif. Pencegahan adalah lebih baik daripada pemulihan karena geng ransomware mampu beradaptasi dan varian LockBit akan segera mengambil alih dengan tools yang lebih merusak.
Geng Ransomware sangat gesit dan varian dari geng lockBit dapat mengisi kekosongan tersebut dan segera mengambil alih dengan tools yang lebih merusak. Mari kita ingat upaya penghapusan grup ransomware produktif lainnya, Blackcat/APHV, yang sukses “UNSEIZED” situs web gelap mereka beberapa jam setelah disita oleh FBI.
Saat balas-balasan dengan pihak berwenang, mereka memasang gambar seekor kucing hitam dan spanduk bertuliskan, “THIS WEBSITE HAS BEEN UNSEIZED” (website ini tidak lagi disita). Geng ini masih buron dan Kementerian Luar Negeri AS menawarkan hadiah hingga US$10 juta untuk informasi mengenai para pemimpin kelompok tersebut. Geng ransomware sedang belajar dan akan beradaptasi dengan tools dan teknik yang digunakan pihak berwenang.
Strategi yang paling efektif adalah mencegah penyerang mengakses dan mengenkripsi data di server yang penting maupun backup. Perusahaan harus memeriksa kembali kondisi postur keamanan mereka, memahami dengan baik permukaan serangan yang ada di perusahaan, dan menerapkan proses dan pedoman yang kuat untuk mencegah dan memulihkan diri dari serangan ransomware.
Menerapkan arsitektur zero trust yang dimulai dengan microsegmentation berbasis software untuk mencegah pergerakan lateral pasca pembobolan sangatlah penting. Mencapai visibilitas penuh terhadap jaringan Anda untuk mengidentifikasi indicators of compromise adalah respons yang lebih ofensif terhadap serangan ransomware. Dan Akamai hadir di setiap titik upaya pembasmian ransomware.
Baca juga: Keamanan Siber & Langkah Mendesak untuk Lindungi Proses Demokrasi
Baca juga: IBM: Pencurian Identitas Makin Marak, Waspadai Serangan Berbasis AI