Ransomware menjadi salah satu kejahatan siber yang paling sering terjadi, mulai dari yang berakibat ringan hingga fatal sekalipun. Serangan ransomware terus menjadi ancaman bagi perusahaan di seluruh dunia. Bahkan menurut laporan SonicWall pada 2023, jumlah serangan ransomware global mencapai 623 juta, dengan kerugian yang diestimasi mencapai miliaran dolar. 

Salah satu contoh serangan ransomware yang fatal adalah yang menimpa Colonial Pipeline pada tahun 2021. Insiden ini membuat perusahaan harus menghentikan operasi distribusi bahan bakar selama beberapa hari, yang akhirnya mengganggu pasokan energi di Amerika Serikat. Dalam kasus tersebut, para hacker minta tebusan 4,4 juta dolar untuk mendapatkan kembali akses ke data-data perusahaan.

Pentingnya Incident Handling

Menghadapi ancaman yang semakin nyata, perusahaan tidak hanya membutuhkan solusi teknis, tetapi juga harus memiliki strategi penanganan insiden (incident handling) yang komprehensif.

Salah satu standar yang dapat diikuti adalah pendekatan yang diusulkan oleh EC-Council dalam sertifikasi Certified Incident Handler (ECIH). ECIH memberikan panduan langkah demi langkah untuk menghadapi serangan siber, termasuk serangan ransomware. Dalam artikel ini, kita akan membahas langkah-langkah yang harus diambil ketika perusahaan terkena serangan ransomware, sesuai dengan panduan ECIH.

Sesuai dengan ECIH, ada beberapa langkah yang bisa diambil saat sebuah perusahaan terkena serangan ransomware, diantaranya:

Identifikasi

Langkah pertama dalam penanganan insiden ransomware adalah identifikasi serangan. Pada tahap ini, tim keamanan perlu memastikan bahwa perusahaan benar-benar sedang menghadapi serangan ransomware. 

Ransomware biasanya mengenkripsi file dan menampilkan pesan yang meminta tebusan. Namun, ada beberapa jenis malware yang mungkin meniru perilaku ransomware.

Menurut EC-Council, tim keamanan harus memanfaatkan sistem deteksi ancaman dan log monitoring untuk segera mengenali tanda-tanda serangan. Hal ini penting untuk membedakan apakah serangan tersebut adalah ransomware atau jenis serangan siber lainnya. 

Misalnya, pada kasus serangan ransomware WannaCry yang terjadi pada 2017, sistem di lebih dari 150 negara terkena dampaknya, namun perusahaan yang memiliki sistem monitoring yang baik mampu mengidentifikasi insiden lebih cepat dan meminimalisir kerugian.

Pengendalian Insiden (Containment)

Setelah serangan teridentifikasi, langkah berikutnya yang sangat penting adalah pengendalian atau containment. Tujuannya adalah untuk meminimalisir dampak dari serangan dengan menghentikan penyebaran ransomware ke bagian sistem yang belum terinfeksi. Dalam framework ECIH, containment bisa dibagi menjadi dua fase: containment sementara dan containment jangka panjang.

Pada fase containment sementara, langkah yang diambil meliputi:

• Memutus koneksi jaringan dari sistem yang terinfeksi untuk mencegah penyebaran lebih lanjut.
• Mengisolasi perangkat yang terkena dampak.
• Menghentikan semua aktivitas jaringan yang mencurigakan.

Fase containment jangka panjang melibatkan langkah-langkah yang lebih strategis, meliputi:

• Memulihkan sistem yang terkena dampak dengan backup yang bersih.
• Mengubah kredensial dan akses pengguna yang mungkin telah dikompromikan.

Dalam beberapa kasus, seperti serangan ransomware pada Baltimore City pada 2019, kegagalan dalam melakukan containment yang cepat menyebabkan sistem kota lumpuh selama berminggu-minggu. Oleh karena itu, pengendalian yang tepat sangat krusial untuk mencegah kerusakan yang lebih besar.

Investigasi dan Analisis Insiden

Tahap berikutnya dalam penanganan insiden ransomware menurut EC-Council adalah investigasi dan analisis. Tim keamanan siber perlu melakukan investigasi mendalam untuk memahami bagaimana ransomware dapat menyusup ke dalam sistem dan apa saja yang terpengaruh. Dalam proses ini, tim harus memeriksa log file, data jaringan, dan laporan deteksi ancaman.

Penting untuk mengidentifikasi sumber serangan dan metode yang digunakan oleh peretas. Misalnya, apakah ransomware tersebut masuk melalui email phishing, kerentanan perangkat lunak, atau serangan brute-force? Mengetahui hal ini akan membantu perusahaan menutup celah keamanan di masa depan.

Pada tahap ini, kolaborasi dengan pihak eksternal seperti tim forensik digital atau penyedia layanan keamanan siber juga bisa diperlukan untuk menganalisis lebih lanjut tentang serangan tersebut. ECIH menekankan pentingnya mendokumentasikan semua hasil investigasi untuk pembelajaran di masa depan dan penyusunan laporan insiden yang lebih baik.

Eradikasi

Setelah investigasi selesai, langkah selanjutnya adalah eradikasi, yaitu proses membersihkan ransomware dari semua sistem yang terinfeksi. Dalam tahap ini, pastikan ransomware telah sepenuhnya dihapus dari jaringan. Tim keamanan harus menghapus file yang terinfeksi, membersihkan malware yang masih tersisa, dan melakukan pemindaian sistem untuk memastikan tidak ada jejak ransomware yang tertinggal.

ECIH menyarankan agar perusahaan memverifikasi setiap perangkat yang terhubung ke jaringan sebelum diaktifkan kembali. Menggunakan antivirus dan antimalware yang diperbarui juga dapat membantu dalam proses eradikasi.

Pemulihan (Recovery)

Setelah eradikasi berhasil, perusahaan dapat melanjutkan ke tahap pemulihan. Pada fase ini, sistem yang terinfeksi di-restore dari backup yang bersih. Proses pemulihan harus dilakukan secara bertahap dan terkontrol untuk memastikan bahwa tidak ada malware yang tersisa yang dapat memicu serangan baru.

Selain itu, ECIH juga menekankan pentingnya menguji sistem sebelum diaktifkan kembali ke operasi normal. Hal ini dilakukan untuk memastikan bahwa sistem berfungsi seperti semula dan tidak ada kelemahan yang tersisa. Prosedur backup harus diperiksa ulang dan diperbarui, karena backup yang baik dapat mencegah dampak buruk dari serangan ransomware.

Pelaporan dan Pembelajaran

Langkah terakhir yang tidak kalah penting adalah pelaporan dan pembelajaran dari insiden. Dalam konteks ECIH, setiap insiden harus didokumentasikan dengan rinci agar perusahaan dapat mempelajari kelemahan dan meningkatkan strategi pertahanan di masa depan. Tim keamanan harus membuat laporan yang mencakup:

• Waktu kejadian serangan ransomware.
• Langkah-langkah yang diambil dalam setiap tahap penanganan.
• Dampak finansial dan operasional dari serangan.
• Tindakan perbaikan yang telah diimplementasikan.

Selain itu, perusahaan juga harus melakukan evaluasi secara berkala terhadap kebijakan keamanan mereka dan melakukan pelatihan kepada karyawan untuk mengenali potensi serangan ransomware.

Serangan ransomware adalah ancaman yang serius dan dapat melumpuhkan operasional perusahaan jika tidak ditangani dengan benar. Dengan mengikuti panduan dari EC-Council dalam program Certified Incident Handler (ECIH), perusahaan dapat menangani insiden ransomware secara efektif dan mengurangi dampaknya. Proses penanganan insiden yang baik meliputi identifikasi, containment, investigasi, eradikasi, pemulihan, dan pelaporan. Dengan implementasi strategi penanganan insiden yang komprehensif, perusahaan dapat meningkatkan ketahanan mereka terhadap serangan siber di masa mendatang.