10 Serangan Ransomware Terbesar Sepanjang Sejarah, Salah Satunya Berkaitan Perang Ukraina
AIDS Trojan terdengar sangat mengancam, bukan? Itulah nama malware yang digunakan dalam serangan ransomware pertama yang dilakukan lebih dari 30 tahun lalu.
Pada tahun 1989, Trojan tersebut, yang dibuat oleh ahli biologi Joseph Popp, didistribusikan melalui floppy disk. Itu mengenkripsi nama file di komputer, dan setelah pengguna mem-boot mesin mereka sebanyak 90 kali, sebuah jendela muncul dengan instruksi tentang apa yang harus dilakukan untuk mendapatkan alat dekripsi.
Pesan tersebut mencantumkan jumlah uang tebusan dan alamat tujuan pengiriman cek atau wesel. Upaya memeras orang melalui perangkat lunak berbahaya ini sudah ada bahkan sebelum munculnya internet. Kini internet telah menjadi bagian dari rutinitas kita sehari-hari, ransomware telah menjadi ancaman yang selalu ada.
Perusahaan pelacakan mata uang kripto Chainalysis melaporkan bahwa pada tahun 2023 pembayaran ransomware mencapai rekor tertinggi. Pemerasan serangan Ransomware melebihi USD1 miliar pada tahun lalu, meskipun lembaga penegak hukum seperti FBI (Biro Investigasi Federal) dan entitas pemerintah seperti CISA (Badan Keamanan Siber dan Infrastruktur) merekomendasikan untuk tidak melanjutkan pembayaran tersebut.
Pembayaran uang tebusan bukan satu-satunya masalah ketika serangan ransomware dilakukan. Perusahaan harus berurusan dengan klien yang terkena dampak, kehilangan data, hilangnya pendapatan karena offline, reputasi yang ternoda, tuntutan hukum, dan seperti yang akan kita lihat di postingan ini, beberapa perusahaan tidak pernah bangkit kembali.
10 Serangan Ransomware Terbesar Sepanjang Sejarah
1. Universitas California
Foto/AP
Melansir fluidattacks, Universitas California di San Francisco, atau UCSF, mengalami serangan ransomware pada tahun 2020. Serangan ini memengaruhi sejumlah server di lingkungan TI Fakultas Kedokteran.
Menurut BBC News, ransomware yang digunakan untuk serangan itu adalah NetWalker, yang mengenkripsi dan mengekstraksi semua data yang disita untuk digunakan nanti dalam tahap negosiasi. Meskipun mereka mampu menahan serangan terhadap sistem TI fakultas kedokteran dan tidak berdampak pada penelitian COVID-19 atau perawatan pasien, pejabat UCSF menyatakan bahwa mereka masih merasa harus membayar uang tebusan karena peran penting data terenkripsi dalam serangan tersebut. Penelitian akademis Fakultas Kedokteran yang sedang berlangsung.
Sekitar USD1,14 juta dalam mata uang kripto dibayarkan untuk mendapatkan kembali akses ke data terenkripsi.
Sepanjang perjalanannya, pelaku jahat NetWalker menargetkan berbagai institusi, termasuk universitas lain, dan terus menggunakan modus operandi yang sama. Melalui email phishing atau spam, mereka memperoleh akses tidak sah ke sistem dan mengenkripsi semua data yang ada selama proses tersebut. Dalam kasus ini, penyerang memanfaatkan data yang dicuri, mempostingnya di blog mereka sebagai bukti tindakan mereka, yang akhirnya memaksa pihak universitas untuk membayar uang tebusan.
2. Kota Dallas
Foto/AP
Pada bulan Mei 2023, kota ini mengungkapkan alokasi sebesar USD8,5 juta untuk upaya restorasi dan remediasi setelah kelompok yang diidentifikasi sebagai Royal menyusup dan memengaruhi kurang dari 200 sistem komputer kota tersebut.
Akun domain layanan dasar yang terhubung ke server kota telah disusupi oleh penyerang Royal, yang kemudian menggunakan teknologi pengujian penetrasi dan mengizinkan alat manajemen jarak jauh pihak ketiga untuk melakukan pergerakan lateral. Dilaporkan bahwa dengan suar perintah dan kontrol yang dikerahkan sebelumnya, kelompok tersebut mampu bergerak melalui jaringan kota beberapa minggu sebelum melancarkan serangan, yang mengenkripsi data di server kota.
Serangan tersebut menyebabkan gangguan atau penundaan pada situs web Departemen Kepolisian Dallas, pembayaran online untuk layanan kota, layanan peringatan Penyelamatan Kebakaran Dallas, dan sistem pengadilan kota. Data sensitif juga dicuri (nomor jaminan sosial dan informasi medis pribadi dibobol) sehingga pemerintah kota merespons dengan mengirimkan surat kepada mereka yang terkena dampak. Tentu saja, masyarakat yang terkena dampak masih mencari kompensasi atau solusi dari pemerintah kota.
3. Kaseya
Pembuat perangkat lunak Kaseya menjadi korban serangan ransomware yang rumit pada Juli 2021. Perusahaan ini terkenal karena menyediakan MSP (penyedia layanan terkelola) dan mengembangkan administrator sistem/server virtual (VSA).
Dalam serangan tersebut, para penjahat dunia maya mengeksploitasi kerentanan zero-day pada perangkat lunak lokal Kaseya VSA, yang memungkinkan mereka melewati autentikasi dan mendistribusikan ransomware ke klien Kaseya yang mengenkripsi file pada sistem yang terpengaruh. Serangan tersebut menyebabkan gangguan layanan secara luas, dan diperkirakan sekitar 1.500 organisasi di berbagai industri terkena dampak ransomware.
Organisasi kriminal REvil (juga dikenal sebagai Sodinokibi) melakukan serangan ini dan awalnya meminta USD70 juta untuk merilis decryptor universal. Kaseya menolak membayar dan bereaksi dengan cepat, menonaktifkan server VSA-nya dan menyarankan semua pelanggannya untuk mematikan server VSA mereka sendiri sampai patch tersedia, yaitu beberapa hari setelah serangan. Insiden ini menyoroti meningkatnya tren ransomware yang menargetkan penyedia layanan terkelola dan, akibatnya, klien mereka.
4. JBS Foods
Foto/AP
REvil juga melakukan serangan ransomware besar lainnya pada tahun 2021, kali ini terhadap salah satu perusahaan pengolahan daging terbesar di dunia, JBS Foods. Serangan tersebut menyusup ke jaringan perusahaan dengan kredensial yang bocor dari serangan sebelumnya (5 TB data diekstraksi selama tiga bulan). Kemudian, REvil menyebarkan ransomware yang mengenkripsi data dan mengganggu produksi di beberapa fasilitas pemrosesan daging JBS di seluruh dunia.
Akibatnya, perusahaan harus menghentikan operasinya dan akhirnya menyerah pada uang tebusan, membayar USD11 juta sebagai tebusan untuk mendapatkan kunci dekripsi.
5. Kronos
Foto/AP
Serangan ransomware pada bulan Desember 2021 terhadap perusahaan manajemen tenaga kerja Kronos (sebelumnya dikenal sebagai Kronos, sekarang Ultimate Kronos Group atau UKG) menargetkan fitur Kronos Private Cloud. Layanan berbasis cloud ini digunakan oleh banyak bisnis untuk mengelola hal-hal seperti pembayaran, kehadiran, dan data lembur.
Hingga postingan ini dibuat, identitas penyerang masih belum dapat dikonfirmasi, namun diketahui bahwa mereka mencuri data klien dan meminta pembayaran dari perusahaan. Setelah UKG memenuhi tuntutan penyerang, diketahui bahwa pelanggaran data berdampak pada lebih dari 8.000 organisasi termasuk rumah sakit, pabrik, dan usaha kecil yang mengandalkan UKG untuk penggajian dan penjadwalan karyawan.
Serangan ransomware ini tampaknya terkait dengan Trojan perbankan Kronos tahun 2014, yang mana kode berbahaya tersebut akan menargetkan sesi browser untuk memperoleh kredensial login secara tidak sah dengan menggunakan kombinasi injeksi web dan keylogging. Rincian teknis serangan ini tidak pernah dirilis; namun demikian, dilaporkan bahwa UKG membayar jumlah yang tidak diketahui kepada para penyerang.
Dampak hukum dari serangan ini sangat terasa setelah kejadian tersebut. Serangan tersebut mengakibatkan tuntutan hukum dari perusahaan-perusahaan yang terkena dampak yang meminta kompensasi atas kerusakan, dan pada bulan Juli 2023, UKG mencapai penyelesaian USD6 juta dengan karyawan yang terkena dampak dari perusahaan-perusahaan tersebut.
6. Colonial Pipeline
Dianggap sebagai “ancaman keamanan nasional” oleh pemerintahan Joe Biden, serangan ransomware tahun 2021 ini merupakan insiden yang mengganggu pasokan bahan bakar di sepanjang Pantai Timur Amerika Serikat. Colonial Pipeline, salah satu pemasok bahan bakar terbesar dan terpenting di negara ini, mengangkut bensin, solar, bahan bakar jet, dan bahan bakar pemanas rumah, dari Texas ke wilayah Timur Laut.
Serangan itu dilakukan oleh kelompok jahat yang dikenal sebagai DarkSide, yang memperoleh akses tidak sah melalui kata sandi yang terbuka untuk akun VPN (penggunaan ulang kata sandi). Para penyerang menyebarkan ransomware yang mengenkripsi data Colonial Pipeline dan meminta pembayaran uang tebusan dalam mata uang kripto sebagai imbalan atas kunci dekripsi.
Perusahaan memitigasi dampaknya dengan mematikan sistemnya, yang menyebabkan gangguan pada pasokan bahan bakar, menyebabkan pembelian panik dan kekurangan bahan bakar, serta lonjakan harga. Perusahaan akhirnya membayar uang tebusan. Sekitar $4,4 juta telah dibayarkan dan sistem dipulihkan; dengan bantuan Departemen Kehakiman, lebih dari separuh pembayaran telah diperoleh kembali.
7. Travelex
Foto/AP
Seperti yang terlihat sebelumnya di postingan ini, REvil terlibat dalam beberapa serangan paling menguntungkan selama beberapa tahun terakhir. Pada bulan Desember 2019, perusahaan penukaran mata uang terkemuka di dunia, Travelex, terkena serangan besar yang mengeksploitasi kerentanan di server Pulse Secure VPN milik perusahaan tersebut.
Ransomware Sodinokibi menyebabkan sistem komputer perusahaan lumpuh dan mengenkripsi data, sehingga Travelex tidak dapat mengakses file-filenya. Tidak bisa dikatakan kesalahannya hanya bergantung pada penyedia Pulse Secure saja. Mereka telah mengidentifikasi dan menambal kerentanan tersebut pada bulan April 2019, namun Travelex gagal menerapkan patch tersebut ke servernya, sehingga membuka peluang bagi para pencari kerentanan seperti REvil.
Serangan itu merusak Travelex secara parah dan selamanya. Meskipun penyerang meminta uang tebusan sebesar USD6 juta, perusahaan akhirnya membayar USD2,3 juta. Ia juga berhasil mendapatkan kembali akses ke datanya. Namun, Travelex mengalami masalah dengan sistem dan offline selama hampir dua minggu. Setelah mitranya yang gagal seperti bank dan jaringan supermarket, dan karena ancaman investigasi Peraturan Perlindungan Data Umum (GDPR), serta kesulitan keuangan lainnya, Travelex terpaksa menjualnya pada tahun 2020.
7. Pemerintah Kosta Rika
Foto/AP
Pada bulan April 2022, serangan siber terhadap pemerintah Kosta Rika dilakukan dengan sangat kejam sehingga dinyatakan sebagai “darurat nasional”. Para penyerang pertama kali menembus Kementerian Keuangan, mengenkripsi file dan melumpuhkan dua sistem penting: layanan pajak digital dan sistem TI pengawasan bea cukai. Grup ransomware Conti mengklaim bertanggung jawab atas serangan ini dan meminta uang tebusan sebesar USD10 juta sebagai imbalan atas pengembalian data pembayar pajak dan tidak menyerang entitas pemerintah lainnya.
Namun, pemerintah Kosta Rika menolak membayar uang tebusan, sehingga menyebabkan beberapa institusi lain terkena dampaknya. Kementerian Sains, Inovasi, Teknologi & Telekomunikasi, dan Kementerian Tenaga Kerja & Jaminan Sosial, serta Dana Jaminan Sosial Kosta Rika. Akibatnya, 672 GB file curian diunggah ke situs Conti.
Serangan Conti diyakini terkait dengan serangan kedua yang dilakukan oleh kelompok operasi ransomware-as-a-service Hive. Hal ini menargetkan dan mempengaruhi sistem layanan kesehatan di Kosta Rika dengan memaksa mereka menutup Catatan Kesehatan Digital Tunggal dan Sistem Pengumpulan Terpusat. Seperti serangan pertama, pemerintah menolak membayar uang tebusan sebesar $5 juta. Pemulihan dari serangan membutuhkan waktu dan sumber daya, menerima bantuan dari Microsoft dan pemerintah Amerika Serikat, Israel, dan Spanyol untuk memungkinkan pemulihan layanan Kosta Rika.
9. Pemerintah Ukraina
Serangan NotPetya, yang terjadi pada tahun 2017, berdampak pada beberapa negara di dunia, namun salah satu serangan tersebut diduga menargetkan Ukraina karena motivasi politik. NotPetya memiliki beberapa kemiripan dengan virus Petya pada tahun 2016, dan menggunakan taktik yang sama seperti serangan WannaCry yang terkenal, yaitu mengeksploitasi perangkat yang belum ditambal, menyebar melalui jaringan, dan mengenkripsi data.
Serangan ini juga menimpa master boot record (MBR) dengan muatan berbahaya dan membuat komputer yang terinfeksi tidak dapat dioperasikan. Namun, itu bukanlah ransomware itu sendiri. Pesan NotPetya yang meminta uang tebusan tidak benar, karena tidak ada kemungkinan nyata untuk mendapatkan kunci dekripsi bahkan setelah pembayaran selesai. Tanpa kunci dekripsi, data dienkripsi secara permanen, file tidak dapat dipulihkan, dan kerusakan permanen terjadi.
Instansi pemerintah, bisnis, dan infrastruktur penting Ukraina terganggu. Investigasi selanjutnya oleh lembaga pemerintah dari Amerika Serikat, Inggris, dan negara lain mengaitkan serangan tersebut dengan militer Rusia, khususnya GRU (intelijen militer Rusia). Investigasi menunjukkan ketegangan geo-politik antara Rusia dan Ukraina masih terlihat hingga saat ini.
10. WannaCry
Pada bulan Mei 2017, serangan ransomware WannaCry menjadi berita utama sebagai salah satu serangan siber paling luas dan terkenal dalam sejarah karena berdampak pada organisasi dan individu di seluruh dunia. Rupanya, geng peretas jahat Lazarus Group melakukan serangan tersebut, yang menargetkan komputer yang menjalankan sistem operasi Microsoft Windows dan mengeksploitasi kerentanan dengan peretasan yang disebut EternalBlue, yang telah dicuri dan dibocorkan oleh kelompok The Shadow Brokers.
Beberapa bulan sebelum serangan terjadi, Microsoft telah merilis patch untuk mengatasi kerentanan tersebut, namun banyak organisasi dan individu gagal memperbarui dan menerapkan patch tersebut, sehingga membuat mereka terkena risiko.
Sekitar 230.000 komputer di lebih dari 150 negara terkena dampaknya dalam beberapa hari setelah WannaCry dirilis. Dampaknya sangat dirasakan oleh organisasi seperti perusahaan seluler Spanyol Telefónica, di mana komputer yang terinfeksi menampilkan jendela pop-up yang meminta pembayaran melalui mata uang digital.
Layanan Kesehatan Nasional Inggris juga menjadi korban WannaCry, rumah sakit dan fasilitas kesehatan terpaksa membatalkan janji temu dan mengalihkan pasien karena sistem komputer dikunci oleh ransomware. Para peretas juga mengeksploitasi target yang lebih kecil, mengenkripsi file dari masing-masing komputer, meminta mata uang kripto senilai $300 hingga $600 untuk merilis file tersebut. Perusahaan risiko siber Cyence saat itu menghitung bahwa perkiraan kerugian akibat peretasan tersebut adalah sekitar USD4 miliar.
