Ketakutan atas ransomware masih terus menghantui dunia digital, di tengah gencarnya CryptoJacking yang mencuri sumber daya komputasi, ransomware masih terus merangsek berburu mangsa dengan meningkatkan kemampuan menghindari pendeteksian untuk membuat dirinya sulit ditemukan dan file terenkripsi lebih sulit dipulihkan.
Sesungguhnya ada satu keuntungan yang dimiliki bagi operasi keamanan siber atas ransomware bahwa pergerakan mereka dapat diprediksi. Cara kerja ransomware yang linier memberikan tim keamanan kesempatan untuk membatasi kerusakan setelah ransomware terdeteksi, namun hal tersebut sepertinya tidak akan berlangsung lama karena pengembang ransomware pasti tidak akan tinggal diam.
Mereka akan mencoba mengubah sifat ransomware yang dapat diprediksi untuk menghindari deteksi. Ini adalah beberapa trik baru yang mereka mungkin akan gunakan.
Mengirim Ransomware melalui file
Tautan berbahaya dalam email masih merupakan metode paling umum untuk mengirim ransomware. Namun metode ini sudah banyak diketahui ditambah banyak perusahaan melakukan edukasi keamanan siber yang salah satunya bagaimana menghadapi email berbahaya yang mungkin membawa ransomware. Beberapa pengembang ransomware pun sudah menyadari hal ini, mereka mulai berubah haluan dalam penggunaan trik social engineering dengan memanfaatkan file dokumen seperti PDF, Microsoft Word atau jenis file lain yang umum digunakan. Teks ini berisi skrip yang mampu mengeksekusi ransomware.
Kode Polimorfik
Penggunaan kode polimorfik juga mempersulit deteksi ransomware. Malware yang diinstal pada korban yang berbeda, ia akan sedikit mengubah kodenya sebelum menyebar lagi, trik ini membuat sulit untuk secara statis mendeteksi file ransomware. Memang benar jika mengetahui mengetahui signature ransomware akan menjadi lebih mudah untuk menghentikannya. Namun, karena kode mereka terus berubah bahkan mungkin menjadi ransomware baru, membuatnya sangat sulit untuk dihentikan.
Perlambat proses enkripsi
Beberapa pengembang ransomware mulai mengubah kebiasaan mereka dalam menjalankan proses enkripsi, yang biasanya langsung terjadi sekaligus kini dilakukan dalam jangka waktu yang lebih lama. Trik ini untuk mengakali pendeteksian oleh solusi keamanan. Katakanlah AV mencari 1.000 file yang sedang diakses dalam 10 detik. Untuk memperdaya, mereka memperlambat jangka waktu akses tersebut lebih dari 10 menit sehingga pendeteksian tidak terjadi. Bahaya besar memperlambat proses enkripsi dalam jangka waktu yang lama adalah file back-up juga dapat dienkripsi.
Multi proses
Umumnya serangan ransowmare merupakan serangan tunggal yang mengenkripsi setiap komputer korban lalu meminta uang tebusan untuk pemulihan file yang disandera. Dalam serangan multi proses, ransomware memperbanyak proses enkripsi seperti bercabang-cabang, tujuan untuk mempercepat enkripsi dan membuatnya lebih sulit dihentikan. Skenario serangan multi proses semakin berbahaya jika dikombinasikan dengan penggunaan kode polimorfik ransomware.
Enkripsi Hard Disk
Mengenkripsi file dengan menargetkan beberapa ekstensi tertentu mungkin bisa jadi kurang begitu efektif. Karena hal tersebut beberapa peretas melewati metode enkripsi per file dan memilih menargetkan mengenkripsi isi satu hard disk, master boot record, dengan begini mereka mendapatkan seluruh hard disk dalam penyanderaan mereka tanpa perlu mengenkripsi satu persatu.
Ransomware sebagai kamuflase
Tren lain yang telah terlihat meningkat tajam pada tahun terakhir adalah para penjahat siber menggunakan ransomware sebagai pengalih perhatian, sementara korban sibuk mencari tahu apa yang terjadi dengan komputer mereka, di balik layar pengembang ransomware mengirim malware lain, misalnya malware pencuri kredensial yang bertugas untuk mencuri data pribadi penting yang berhubungan dengan akun finansial.
Menggunakan ransomware untuk keuntungan finansial masih merupakan motif paling umum bagi para penjahat. Menurut survei terbaru oleh SentinelOne, 62 persen dari semua serangan ransomware adalah untuk keuntungan finansial, sementara 38 persennya mengganggu bisnis. Hanya 24 persen yang bermotif politik.
Menyerang OS Lawas
Penjahat siber sulit menyerang versi terbaru Operating System seperti Microsoft Windows 10 dan Apple MacOS ketimbang versi yang lebih lawas. Apalagi di luar sana ada jutaan sistem yang tidak terawat dan terupdate dalam menjalankan sistem operasi lama yang masih digunakan. Karena itu serangan yang menargetkan sistem operasi yang lebih baru kurang populer di kalangan penjahat siber, mereka lebih memilih menyerang versi OS lama karena lebih mudah untuk menyerang kerentanan yang sudah diketahui.
Kemampuan penulisan ransomware
Dekripsi semakin sulit karena pengembang ransomware meningkatkan keterampilan mereka. Mendapatkan alat dekripsi bergantung pada beberapa hal, pengembang ransomware membuat kesalahan dalam cara mereka menerapkan proses enkripsi. Mereka tidak melakukan manajemen kunci yang tepat, atau mereka menggunakan generator nomor yang dapat diprediksi untuk memperoleh kunci dekripsi. Kesalahan-kesalahan itu memungkinkan peneliti keamanan untuk menentukan kunci dekripsi ransomware. Tapi begitu mereka menyadari kesalahan mereka dan memperbaiki source code nya, keadaan bisa berubah 180 derajat.
Sleeping Ransomware
Salah satu taktik yang mungkin terlihat dalam waktu dekat adalah sleeping ransomware, di mana ransomware menginfeksi suatu sistem tetapi tertidur selama beberapa waktu sebelum diaktifkan, sementara malware lain dijalankan dengan berbagai tujuan sebelum akhirnya ransomware dibangunkan untuk menjalankan tugasnya, dengan trik ini pengembang malware berharap mendapaykan keuntungan berkali-kali lipat, dengan mempermainkan korban yang sama dengan berbagai malware berbahaya.
Ada beberapa cara bagi individu atau perusahaan untuk melindungi diri terhadap serangan berbagai ransomware dengan aneka ragam trik yang mereka miliki. Pastikan pengguna atau karyawan mendapatkan pelatihan ransomware yang tepat, ditambah dengan simulasi ransomware untuk melihat kemampuan respon karyawan dan kemampuan tim keamanan mengatasi serangan yang datang.
Yang paling penting dan di atas semuanya adalah memiliki cadangan data dan metode pemulihan yang terorganisir baik, sistematis dan cepat. Backup data harus dilakukan secara rutin dan berkala, pisahkan penyimpanan data cadangan dan jauhkan dari semua koneksi dengan komputer lain dan internet.
Perusahaan harus menggunnakan sistem keamanan berlapis agar tidak mudah sistem perusahaan dipenetrasi oleh malware apa pun. Dengan mengadopsi ketiga metode ini, perusahaan tidak perlu lagi kuatir jika mendapat serangan ransomware, aktivitas perusahaan dapat tetap berjalan meskipun dalam skenario terburuk.