5 Konsekuensi Membayar Uang Tebusan Serangan Ransomware

Bicara soal uang tebusan bukan lagi soal jaminan, tetapi soal pertaruhan. Ketika yang diretas adalah data penting dan layanan publik vital, keputusan untuk membayar tebusan bukan hanya soal mendapatkan kembali akses ke data, tetapi juga soal mempertaruhkan integritas dan keamanan jangka panjang. Membayar tebusan tidak menjamin bahwa data akan dipulihkan secara penuh dan aman. Bahkan, ada risiko bahwa peretas tidak akan menepati janji mereka atau mungkin melakukan serangan lanjutan setelah menerima pembayaran.

Selain itu, keputusan untuk membayar tebusan berpotensi menciptakan preseden buruk dan mendorong lebih banyak serangan siber. Jika peretas mengetahui bahwa korban cenderung membayar tebusan, mereka akan lebih termotivasi untuk melancarkan serangan berikutnya; tidak hanya pada korban yang sama, tetapi juga pada instansi lain yang rentan. Dengan demikian, uang tebusan yang dibayarkan tidak hanya memperkuat kejahatan ini, tetapi juga mengancam keamanan dan stabilitas yang lebih luas.

Menurut laporan InvenioIT, sebanyak 92 persen perusahaan yang membayar tebusan tidak berhasil memulihkan semua data mereka meski memiliki kunci dekripsi, berdasarkan hasil penelitian dari Sophos Cybersecurity. Kejadian ini terjadi pada sebuah perusahaan yang tidak disebutkan namanya pada 2021 setelah menjadi korban serangan ransomware. Sebuah kelompok ransomware yang dikenal sebagai BlackMatter menggunakan email phishing untuk mengecoh seorang karyawan di perusahaan tersebut dan berhasil meretas seluruh sistem perusahaan dan menginstal perangkat peretasan di seluruh jaringan, mengutip ZDNet. Selain mengenkripsi data sensitif perusahaan, peretas mengancam akan mengungkapkan data tersebut ke publik kecuali perusahaan membayar tebusan. Meski perusahaan akhirnya membayar tebusan, peretas tetap melakukan kebocoran data. Perusahaan tersebut pun terpaksa melakukan pemulihan sebagian besar dari cadangan mereka.

Ketika pihak yang diretas membayar uang tebusan kepada peretas selama serangan ransomware masih berlanjut, itu berarti sama saja memodali mereka atau mendanai mereka untuk melancarkan aksi berikutnya. Kelompok peretas dapat menggunakan uang tersebut untuk mengembangkan teknik yang lebih canggih dalam menggunakan malware untuk menyerang bisnis-bisnis yang rentan, terlepas dari ukuran mereka. Dengan membayar tebusan, instansi yang menjadi korban hanya akan memperburuk situasi ransomware.

Sebaliknya, semakin sulit bagi peretas untuk menjalankan kegiatan kriminal mereka, semakin kecil peluang mereka untuk merugikan perusahaan lain. Menurut InvenioIT, bagi peretas yang mahir ransomware adalah cara andal untuk menghasilkan pendapatan secara ilegal dan menghindari deteksi, terutama karena banyak perusahaan membayar tebusan menggunakan kripto yang tidak dapat dilacak. Sebelum 2020, hanya ada 4 kelompok ransomware utama yang bertanggung jawab atas sebagian besar serangan global. Namun, dalam 3 tahun terakhir, jumlah ini melonjak menjadi lebih dari 20 kelompok. Pada 2023, LockBit menjadi kelompok ransomware terbesar yang tercatat melakukan sekitar 40 persen dari semua serangan. Kelompok ini berhasil meraup sekitar 91 juta dolar Amerika Serikat (Rp1,4 triliun) dalam pembayaran tebusan hanya dari korban yang ada di Amerika Serikat, menurut data dari Bitdefender.

Di Amerika Serikat contohnya, Departemen Keuangan telah mengeluarkan peringatan tentang risiko sanksi yang dapat dikenakan jika seseorang membayar tebusan kepada peretas. Secara esensial, panduan baru ini mencoba membuat tindakan membayar tebusan menjadi tidak legal. Perlu diingat bahwa di balik serangan ransomware tidak hanya terdapat peretas individu yang beroperasi dari tempat tersembunyi mereka. Dalam banyak kasus, mereka adalah entitas negara asing, kelompok teroris, atau musuh-musuh lain dari Amerika Serikat. Dengan membayar tebusan yang diminta oleh mereka, instansi atau organisasi pada dasarnya memberikan dukungan finansial kepada geng hacker ini.

Legalitas dari situasi ini masih ambigu saat ini. Namun, yang pasti adalah organisasi atau instansi yang terdampak serangan ransomware tidak ingin menghadapi sanksi federal atas instansi yang diserang setelah membayar tebusan besar kepada penjahat siber. Pada 2021, Kantor Pengawasan Aset Luar Negeri (OFAC) memberlakukan sanksi terhadap Chatex, sebuah bursa mata uang virtual yang dioperasikan oleh Rusia, serta Suex, entitas terkait, karena memfasilitasi pembayaran kepada kelompok ransomware. Dalam pengumuman ini, pemerintah menegaskan bahwa semua perusahaan diharapkan melaporkan insiden ransomware kepada penegak hukum dan melaporkan pembayaran yang berpotensi terkena sanksi OFAC.

Kalau memang membayar tebusan adalah satu-satunya pilihan untuk menyelamatkan kembali data yang sudah diretas, lebih baik diurungkan saja. Sebab, bisa jadi peretas akan ada kemungkinan untuk melakukan serangan kedua, ketiga, dan seterusnya. Kemungkinan lainnya adalah penjahat siber bisa saja meminta nominal tebusan yang lebih besar di lain waktu. Ibarat, kamu memberi makan sekawanan burung di pantai, mereka tentunya akan terus kembali meminta lebih banyak makanan dan akan semakin sulit untuk menghentikan kebiasaan tersebut. Dalam hal ini, membayar tebusan hanya akan mengundang lebih banyak serangan dan memberikan penjahat siber keleluasaan untuk melanjutkan operasi mereka sehingga dalam jangka panjang bisa merugikan banyak pihak yang berkecimpung di dalamnya.

Sebuah studi yang dilakukan oleh Cybereason pada 2022 menemukan bahwa 80 persen dari perusahaan yang membayar tebusan mengalami serangan kembali di waktu yang berbeda. Di antara perusahaan-perusahaan ini, 40 persen mengalami serangan kedua, bahkan 70 persen dari mereka terpaksa membayar jumlah tebusan yang lebih tinggi dibandingkan serangan sebelumnya. UK’s National Cyber Security Centre baru-baru ini mengutip contoh satu perusahaan yang tidak disebutkan namanya mengalami serangan ransomware berulang. Perusahaan ini awalnya membayar hampir 6,5 juta euro (lebih dari Rp114 miliar) kepada peretas untuk mendapatkan kunci dekripsi dan memulihkan data mereka. Namun, mereka tidak memperbaiki celah keamanan yang memungkinkan serangan pertama terjadi. Selang 2 minggu, mereka menghadapi serangan lagi dari peretas yang sama dan terpaksa membayar tebusan untuk kedua kalinya.

Jika menggunakan asuransi siber untuk membayar tebusan yang diminta oleh penjahat siber, maka ini akan berdampak pada kenaikan premi asuransi. Hal ini dapat meningkatkan biaya operasional jangka panjang karena meningkatnya risiko yang terkait dengan menjadi target serangan ransomware. Mengutip Risk and Resilience Hub, sebuah analisis menunjukkan bahwa 74 persen dari korban yang membayar tebusan mengalami peningkatan premi mereka. Namun, premi juga bisa melonjak bahkan jika organisasi belum mengalami serangan.

Di seluruh industri, biaya asuransi siber telah meningkat sebanyak 50 persen per tahun karena meningkatnya serangan ransomware secara global. Selain itu, penting untuk dicatat bahwa biaya pembayaran tebusan hanya merupakan sebagian kecil, sekitar 15 persen, dari total biaya yang ditimbulkan oleh serangan ransomware, menurut beberapa perkiraan. Gangguan operasional dan proses pemulihan yang panjang bisa sangat mahal. Dengan serangan ransomware terus menjadi ancaman yang signifikan bagi bisnis, biaya untuk mengasuransikan diri terhadap serangan semacam ini diperkirakan akan terus meningkat.

Jadi, daripada repot membayar uang tebusan yang nominalnya sungguh besar dan ujung-ujungnya hanya sebagai "modal" untuk penjahat siber alias peretas ransomware melakukan aksi yang lebih besar lagi, lebih baik fokus saja pada pencegahan dan pemulihan yang dapat memberikan solusi jangka panjang. Langkah-langkah seperti memperkuat sistem keamanan siber, melakukan backup data secara rutin, serta memberikan edukasi kepada karyawan atau staf untuk mengenali risiko dan mencegah ancaman siber. Antisipasi semacam ini akan jauh lebih efektif dan efisien dalam menjaga data serta operasional instansi tetap aman dan terlindungi. Dengan fokus pada pencegahan, instansi pemerintah yang terdampak dapat mengurangi risiko terjadinya serangan serupa di masa depan.