Ransomware — Kenapa Backup Adalah Satu-Satunya Tameng
Tahun 2017 adalah tahun yang nggak akan pernah gue lupakan. WannaCry baru aja melanda dunia, dan gue dapet telepon jam 3 pagi dari seorang klien. Suaranya panik luar biasa. “Bang, semua file kita jadi aneh! Ada file .wncry di mana-mana! Desktop gue ada tulisan minta bitcoin!” Gue langsung tau: WannaCry.
Itu adalah salah satu malam terpanjang dalam karir gue. Gue harus nge-lead tim incident response sambil mikir: backup mereka oke nggak? Ternyata… nggak. Backup terakhir mereka 3 bulan lalu, dan itu pun nggak lengkap. Akhirnya? Mereka bayar—bukan ke hacker, tapi ke tim konsultan forensik yang biayanya jauh lebih mahal daripada backup yang proper.
Dari pengalaman itu, gue belajar satu hal: RANSOMWARE BUKAN SOAL TEKNOLOGI CANGGIH. Ini soal kedisiplinan backup.
Sejarah Singkat Ransomware
1989 — AIDS Trojan (PC Cyborg). Ransomware pertama, disebar via floppy disk di konferensi AIDS WHO. Menyembunyikan file dan minta “lisensi” $189. Enkripsi simetris simpel yang bisa di-decrypt.
2005 — Archievus. Ransomware pertama dengan enkripsi RSA asimetris.
2013 — CryptoLocker. Game changer. Enkripsi RSA-2048 + AES. Didistribusikan via email phishing. Dalam 2 bulan, mengumpulkan sekitar $27 juta. Dibuat oleh geng kriminal berbasis Rusia.
2017 — WannaCry. Ledakan terbesar dalam sejarah. Menggunakan exploit EternalBlue (bocoran NSA) yang mengeksploitasi SMBv1. Dalam 24 jam, menginfeksi 200.000+ komputer di 150 negara. NHS Inggris lumpuh. Pabrik Renault berhenti. Dihentikan oleh Marcus Hutchins yang menemukan kill switch.
2019 — Maze. Era “double extortion” dimulai: enkripsi data + curi data + ancaman publikasi.
2020-2021 — Ransomware-as-a-Service (RaaS). Ransomware jadi model bisnis. Grup seperti REvil, Conti, DarkSide menjalankan affiliate program. Keuntungan dibagi 70-30.
Bagaimana Ransomware Bekerja Secara Teknis
Step 1: Delivery. Masuk via email phishing, drive-by download, eksploitasi vulnerability (EternalBlue), RDP lemah password, atau malvertising.
Step 2: Installation & Persistence. Drop payload, modifikasi registry/crontab, disable security software, delete Volume Shadow Copies.
Step 3: Command & Control. Komunikasi ke server C2 untuk dapat public key, registrasi korban, kirim system info.
Step 4: Encryption. Hybrid encryption:
- Generate random AES key
- AES key dienkripsi dengan RSA public key attacker
- File dienkripsi dengan AES-256
Untuk decrypt, butuh RSA private key yang cuma dipegang penyerang. RSA private key nggak bisa di-reverse dari public key.
Step 5: Ransom Note. File teks/HTML di setiap folder: pemberitahuan, instruksi pembayaran (Bitcoin/Monero), deadline, kontak (.onion Tor portal).
Kasus-Kasus Terkenal
Colonial Pipeline (2021). DarkSide menyerang operator pipa bahan bakar terbesar AS. Operasi ditutup 5 hari. Pantai timur AS krisis BBM. Colonial Pipeline bayar $4.4 juta Bitcoin (sebagian direcover FBI).
Costa Rica (2022). Conti ransomware menyerang 27 institusi pemerintah. Pertama kalinya negara mendeklarasikan “keadaan darurat nasional” akibat ransomware.
WannaCry & NHS (2017). Ribuan operasi dan appointment dibatalkan. Yang menyedihkan: NHS udah diberi warning dan patch udah tersedia. Mereka cuma nggak patching.
Kenapa Backup Adalah Satu-Satunya Tameng?
Antivirus bisa dikelabui. Firewall bisa di-bypass. EDR bisa di-evade. Tapi kalau lo punya backup proper, lo bisa restore data tanpa bayar tebusan. Sederhana. Nggak ada tools lain yang bisa memberikan jaminan setingkat itu.
Kenapa? Karena ransomware pada dasarnya adalah serangan terhadap AVAILABILITY data lo. Dan satu-satunya cara memastikan availability dalam skenario terburuk adalah memiliki salinan data yang terpisah dan tidak terpengaruh oleh serangan. Ini bukan soal “mencegah” ransomware masuk — karena selalu ada kemungkinan ransomware masuk. Ini soal “memastikan lo bisa recover” kalau ransomware masuk.
Gue sering ditanya: “Kenapa nggak ngandelin antivirus aja?” Karena antivirus bekerja berdasarkan signature (pola yang dikenal) dan behavior (perilaku mencurigakan). Ransomware baru yang belum ada signature-nya bisa lolos. Dan ransomware modern pake teknik evasion yang sophisticated: obfuscation, packing, process injection, living-off-the-land (menggunakan tools bawaan sistem), dan fileless execution. Bahkan EDR (Endpoint Detection and Response) yang canggih pun nggak 100% bisa mendeteksi.
Satu-satunya yang 100% bisa kasih lo data lo kembali adalah backup yang proper. Ini bukan opini — ini fakta yang sudah dibuktikan berkali-kali dalam incident response yang gue tangani. Perusahaan dengan backup proper biasanya recover dalam hitungan hari. Perusahaan tanpa backup? Mereka harus negosiasi dengan kriminal, bayar tebusan, dan berharap decryptor-nya berfungsi (yang nggak selalu terjadi — sekitar 8% korban yang bayar tebusan nggak dapet decryptor yang berfungsi dengan baik).
Jadi, backup bukan cuma “nice to have.” Backup adalah satu-satunya tameng yang bener-bener reliable melawan ransomware. Semua investasi keamanan lain — firewall, AV, EDR, training — itu semua LAPISAN PENCEGAHAN. Tapi backup adalah LAPISAN PEMULIHAN. Dan dalam cybersecurity, lo butuh keduanya.
Syaratnya: backup harus PROPER.
Aturan 3-2-1 untuk Backup
3 — Minimal TIGA salinan data (produksi + dua backup).
2 — Simpan di DUA media berbeda (NAS + external drive + tape).
1 — SATU salinan offsite (cloud atau lokasi fisik terpisah).
Aturan Modern: 3-2-1-1-0
- 3 salinan data
- 2 media berbeda
- 1 offsite copy
- 1 immutable/air-gapped copy (tidak bisa diubah/dihapus)
- 0 error (selalu verifikasi backup)
Immutable backup paling penting. Teknologi: WORM (Write Once Read Many), S3 Object Lock (AWS), tape backup physically disconnected (air gap).
Bagaimana Recover Tanpa Bayar Tebusan?
- Cek No More Ransom (nomoreransom.org) — Inisiatif Europol + vendor keamanan, kumpulkan decryptor gratis.
- Identifikasi Varian (id-ransomware.malwarehunterteam.com) — Upload ransom note + sample file.
- Check Shadow Copies (Windows) —
vssadmin list shadows. - Check Backup — Harusnya langkah pertama.
- Forensik Profesional — Kalau data critical banget.
Yang TIDAK BOLEH:
- JANGAN langsung bayar tebusan (mendanai kriminalitas)
- JANGAN format sebelum investigasi
- JANGAN connect backup disk tanpa isolasi
Pencegahan Multi-Layered
Layer 1: Email Security — Advanced filtering, attachment sandboxing, URL rewriting.
Layer 2: Endpoint Protection — Next-gen AV, anti-ransomware module, application whitelisting.
Layer 3: Network Security — Network segmentation, Zero Trust, RDP jangan di-expose ke internet.
Layer 4: Patch Management — Patch critical dalam 48 jam, prioritaskan yang dieksploitasi di wild.
Layer 5: User Awareness — Simulated phishing, training, easy report mechanism.
Layer 6: Backup (The Last Line) — 3-2-1-1-0 rule, test restore, immutable backup, isolasi dari domain.
Layer 7: Incident Response Plan — Tim, playbook, tabletop exercise, kontak pihak ketiga.
Tools dan Sumber Daya
- No More Ransom: nomoreransom.org
- ID Ransomware: id-ransomware.malwarehunterteam.com
- Have I Been Pwned: haveibeenpwned.com
- Veeam Community Edition (gratis, maks 10 workload)
Kesimpulan
Ransomware terus berevolusi. Dari CryptoLocker sampai RaaS, profesionalisasi makin canggih. Tapi fondasi pertahanan tetap sama: backup proper, patch tepat waktu, user awareness.
Pesan gue: jangan nunggu jadi korban baru mikirin backup. Mulai sekarang: cek backup, verify, test restore. Kalau belum ada, BIKIN. Backup itu non-negotiable.
Ransomware di Indonesia
Karena blog ini berbahasa Indonesia, gue pengen spesifik ngomongin ransomware di Indonesia. Beberapa tahun terakhir, serangan ransomware di Indonesia meningkat drastis. Targetnya beragam: rumah sakit, universitas, perusahaan konstruksi, sampai instansi pemerintah.
Ada beberapa pola yang gue observe:
1. RDP Exposure. Banyak perusahaan di Indonesia yang buka RDP (3389) langsung ke internet tanpa VPN untuk memudahkan akses remote karyawan. Ini ladang emas buat penyerang. Mereka scan IP Indonesia yang punya port 3389 terbuka, brute force password, dan kalau berhasil, langsung deploy ransomware.
2. Software Bajakan. Banyak perusahaan Indonesia pake software bajakan yang nggak bisa di-update. Akibatnya, security patch nggak pernah di-install. OS Windows bajakan juga sering dimodifikasi dengan nge-disable security features.
3. Awareness Rendah. Masih banyak karyawan yang nggak tau ransomware itu apa. Email phishing “Invoice” atau “Surat Tilang” masih sangat efektif.
4. Backup yang Tidak Di-test. Banyak yang “katanya sih ada backup” tapi belum pernah di-test restore. Pas kena ransomware, backup corrupt, nggak lengkap, atau bahkan ikut terenkripsi.
5. Pembayaran Tebusan. Sayangnya, banyak korban di Indonesia yang memilih bayar tebusan karena lebih “cepat” dan “murah” (padahal jangka panjangnya nggak). Ini justru membuat Indonesia jadi target menarik di mata ransomware gangs.
Negosiasi dan Pembayaran: Sebuah Dilema Etis
Sebagai incident responder, gue sering ditanya: “Haruskah kita bayar?” Jawaban resmi dari penegak hukum dan badan siber: JANGAN. Membayar tebusan mendanai kriminalitas dan mendorong lebih banyak serangan.
Tapi di realita, gue paham bahwa keputusan ini nggak sesimpel itu. Kalau data lo critical, backup nggak ada (atau nggak berfungsi), dan bisnis lo terancam bangkrut… godaan untuk bayar sangat besar. Gue nggak akan judge siapapun yang dalam posisi itu.
Tapi ketahuilah:
- Membayar nggak menjamin lo akan dapet decryptor. Sekitar 8% organisasi yang bayar nggak dapat decryptor yang berfungsi.
- Membayar nggak menjamin data lo nggak akan dipublikasikan (dalam double extortion scenario).
- Membayar menandakan lo sebagai target yang “mau bayar,” dan sering kali lo akan diserang lagi.
Gue selalu merekomendasikan: EXHAUST semua opsi lain sebelum bahkan mempertimbangkan pembayaran. Cek No More Ransom, cek ID Ransomware, cek Shadow Copies, cek backup, panggil profesional. Dan yang paling penting: kalau lo memutuskan untuk membayar, laporkan ke pihak berwenang. Bareskrim Polri dan BSSN punya unit yang menangani serangan siber, dan informasi dari korban sangat membantu upaya mereka melawan ransomware gangs.
Test Restore: The Most Skipped Step
Kalau ada satu kesalahan yang paling fatal di hampir semua organisasi yang gue tangani, itu adalah: MEREKA NGGAK PERNAH TEST RESTORE.
Mereka punya backup. Backup script jalan tiap malam. Log menunjukkan “Backup completed successfully.” Tapi pas dibutuhin…
- File backup corrupt
- Backup software nggak kompatibel dengan OS baru
- Database dump kosong karena query salah
- Encryption key buat decrypt backup hilang
- Proses restore memerlukan 2 minggu padahal bisnis cuma bisa down 2 hari
Test restore itu kayak asuransi kebakaran. Lo nggak nunggu kebakaran dulu baru baca polis. Test restore harus dilakukan minimal 3 bulan sekali, dan idealnya ada “surprise restore drill” di mana tim IT diminta restore server random untuk mengukur waktu dan kesuksesan.
Backup yang nggak pernah di-test = nggak punya backup. Plain and simple.
Penulis telah memimpin puluhan incident response serangan ransomware sejak 2013.