Pengertian dan Cara Kerja Double Extortion Ransomware

Dunia siber saat ini menghadapi ancaman yang semakin kompleks, salah satunya adalah double extortion ransomware. Jika dulu serangan ransomware hanya mengunci data korban, kini pelaku tidak segan-segan mencuri sekaligus mengancam mempublikasikan data tersebut apabila tebusan tidak dibayarkan. Model serangan baru ini membuat organisasi di berbagai sektor semakin rentan karena taruhannya bukan hanya kehilangan akses data, melainkan juga reputasi dan kepercayaan publik.

Berikut ini adalah penjelasan mengenai apa itu double extortion ransomware, bagaimana cara kerjanya, asal-usulnya, hingga contoh kasus besar yang pernah mengguncang dunia.

Apa Itu Double Extortion Ransomware?

Ransomware merupakan salah satu bentuk serangan siber yang paling ditakuti saat ini. Secara sederhana, ransomware adalah program jahat yang mengenkripsi (mengunci) data korban sehingga tidak bisa diakses. Untuk membuka kembali data tersebut, korban diminta membayar sejumlah uang tebusan.

Namun, seiring berkembangnya teknologi dan meningkatnya keamanan organisasi, pelaku kejahatan siber menemukan cara baru untuk meningkatkan tekanan terhadap korban, yakni dengan metode double extortion ransomware.

Double extortion ransomware adalah jenis serangan di mana pelaku tidak hanya mengenkripsi data korban, tetapi juga mencurinya terlebih dahulu. Dengan cara ini, mereka memiliki senjata tambahan:

• Jika korban tidak mau membayar, data bisa dijual di pasar gelap atau dipublikasikan secara terbuka.
• Korban bukan hanya kehilangan akses, tetapi juga berisiko terkena kebocoran data sensitif yang bisa merusak reputasi, keuangan, bahkan memicu tuntutan hukum.

Metode ini menjadikan double extortion ransomware sebagai salah satu serangan siber paling ditakuti oleh perusahaan, lembaga pemerintah, maupun organisasi di sektor kesehatan dan keuangan.

Bagaimana Serangan Double Extortion Terjadi?

Serangan double extortion ransomware umumnya melalui beberapa tahapan berikut:

1. Akses Awal
   Penyerang masuk ke dalam sistem organisasi melalui phishing, malware, celah keamanan perangkat lunak, brute force RDP, atau kredensial curian.

2. Eksplorasi Jaringan & Pergerakan Lateral
   Setelah berhasil masuk, mereka memetakan jaringan, mencari data penting, dan menyusup lebih dalam ke berbagai sistem.

3. Eksfiltrasi Data (Pemerasan Tahap 1)
   Data sensitif korban dicuri secara diam-diam dan disimpan oleh pelaku. Pada tahap ini korban belum menyadari ancaman yang lebih besar.

4. Enkripsi Data (Pemerasan Tahap 2)
   Setelah data dicuri, barulah ransomware dijalankan untuk mengenkripsi file. Korban kehilangan akses dan dipaksa membayar untuk mendapatkan kunci dekripsi.

5. Tekanan Tambahan – DDoS (Opsional)
   Beberapa kelompok menambah tekanan dengan meluncurkan serangan Distributed Denial of Service (DDoS) agar sistem korban lumpuh total.

   Tahapan ini menjelaskan mengapa serangan double extortion jauh lebih berbahaya dibanding ransomware biasa: ada dua lapis pemerasan sekaligus.

Cara Penyerang Bisa Masuk ke Sistem

Metode yang dipakai para pelaku sebenarnya tidak asing. Beberapa cara paling umum adalah:

• Phishing: Mengirim email atau pesan palsu untuk menipu korban agar membuka lampiran berbahaya atau mengklik tautan berisi malware.
• Malware: Memasang perangkat lunak berbahaya di komputer korban.
• Eksploitasi Celah Keamanan: Memanfaatkan bug atau kelemahan pada perangkat lunak yang belum diperbarui.
• Brute Force RDP: Mencoba ribuan kombinasi username dan password untuk masuk ke server Remote Desktop Protocol.
• Kredensial Curian: Membeli atau mencuri username dan password dari korban untuk akses langsung.

Target favorit biasanya adalah data sensitif di sektor kesehatan, keuangan, dan pemerintahan. Organisasi di sektor ini sering kali dipaksa membayar karena risiko kebocoran data jauh lebih besar dibanding kerugian finansial akibat downtime.

Asal-Usul Double Extortion Ransomware

Sejarah Singkat Ransomware
Ransomware pertama kali muncul pada tahun 1989 dengan nama AIDS Trojan atau PC Cyborg Virus. Serangan ini menyebar melalui disket dan meminta korban mengirim uang ke Panama untuk memulihkan akses.

Seiring waktu, ransomware terus berkembang. Munculnya mata uang kripto membuat transaksi tebusan semakin sulit dilacak, sehingga ransomware semakin populer di kalangan penjahat siber.

Kemunculan Double Extortion
Metode double extortion mulai populer pada tahun 2019 ketika kelompok TA2102 meluncurkan serangan menggunakan Maze Ransomware terhadap perusahaan keamanan Allied Universal. Mereka menuntut tebusan sebesar $2,3 juta dalam bentuk bitcoin dengan ancaman mempublikasikan data curian.

Sejak saat itu, strategi ini menjadi tren dan diikuti oleh banyak kelompok ransomware lain. Pada tahun 2020 saja, tercatat ada lebih dari 1.200 serangan double extortion dari 15 keluarga ransomware berbeda.

Contoh Kasus Besar Double Extortion

Beberapa kasus serangan besar yang menjadi sorotan global antara lain:

1. Colonial Pipeline (Mei 2021)
   Kelompok DarkSide mencuri 100 GB data dari perusahaan yang mengelola 45% pasokan bahan bakar di Pantai Timur AS. Colonial Pipeline akhirnya membayar sekitar $5 juta untuk menghentikan kekacauan.

2. Health Service Executive (HSE) Irlandia (2021)
   Sistem layanan kesehatan Irlandia lumpuh setelah diserang kelompok Conti. Mereka menuntut $20 juta sebagai tebusan. Serangan ini menyebabkan gangguan besar pada layanan medis.

3. JBS S.A. (2021)
   Produsen daging terbesar di dunia harus menghentikan operasional sementara setelah diserang kelompok REvil. Mereka akhirnya membayar $11 juta untuk memulihkan sistem.

Kasus-kasus ini menunjukkan betapa luasnya dampak serangan double extortion ransomware: bukan hanya kerugian finansial, tetapi juga gangguan pada layanan publik vital.

Keluarga Ransomware Paling Populer dengan Teknik Double Extortion
Beberapa kelompok yang dikenal aktif menggunakan metode ini antara lain:

• DarkSide
• Egregor
• Conti
• DoppelPaymer / BitPaymer
• REvil / Sodinokibi
• Avaddon
• Ragnar Locker
• Maze

Meski beberapa kelompok sudah bubar atau berganti nama karena tekanan aparat hukum, teknik mereka tetap diwarisi oleh kelompok baru.

Mengapa Double Extortion Begitu Menakutkan?

Ada beberapa alasan utama mengapa metode ini sangat berbahaya:

• Ancaman Berlapis
  Korban menghadapi dua masalah: kehilangan akses data sekaligus risiko kebocoran.
• Dampak Reputasi
  Data bocor bisa merusak citra perusahaan dan menghilangkan kepercayaan publik.
• Biaya Tinggi
  Selain tebusan, perusahaan harus mengeluarkan biaya besar untuk pemulihan sistem, keamanan tambahan, dan potensi tuntutan hukum.
• Dampak Sosial dan Publik
  Jika serangan menimpa sektor publik seperti kesehatan atau energi, dampaknya bisa meluas hingga mengganggu kehidupan masyarakat banyak.

Cara Mencegah Serangan Double Extortion Ransomware

Salah satu langkah paling penting dalam menghadapi serangan ransomware modern adalah menerapkan kebijakan Zero Trust. Konsep ini lahir dari kenyataan bahwa tidak ada lagi sistem yang bisa sepenuhnya dipercaya begitu saja.

Zero Trust berprinsip bahwa setiap pengguna, perangkat, maupun aplikasi harus diverifikasi identitas dan keamanannya sebelum diberi akses, bahkan jika mereka berada di dalam jaringan perusahaan. Jadi, tidak ada akses "gratis" hanya karena posisi atau lokasi.

Secara umum, arsitektur Zero Trust berfokus pada tiga pilar utama:

1. Meminimalkan Permukaan Serangan
   Penyerang hanya bisa masuk jika mereka menemukan celah. Dengan membuat aplikasi dan pengguna tidak mudah terlihat di internet, peluang eksploitasi bisa ditekan. Caranya adalah dengan mengamankan akses melalui proxy-based brokered exchange, yaitu sistem yang menjadi perantara antara pengguna dan aplikasi.

   Jika aplikasi tidak bisa ditemukan secara langsung di internet, maka penyerang tidak punya pintu masuk untuk mencoba menembusnya.

2. Menghilangkan Pergerakan Lateral
   Salah satu strategi favorit peretas adalah melakukan lateral movement, yaitu bergerak dari satu sistem ke sistem lain setelah berhasil masuk. Dengan begitu, mereka bisa menjangkau lebih banyak data.

   Untuk mencegah hal ini, perusahaan bisa menggunakan microsegmentation. Teknik ini membagi jaringan ke dalam beberapa segmen kecil sehingga akses sangat terbatas. Jika pun penyerang berhasil masuk ke satu segmen, mereka tidak bisa bergerak bebas ke segmen lain.

   Selain itu, penggunaan deception technology juga semakin populer. Teknologi ini menempatkan "jebakan" berupa data atau sistem palsu untuk memancing peretas, sekaligus mengungkap keberadaan mereka sebelum mencapai data asli.

3. Inspeksi Lalu Lintas Data Secara Penuh
   Banyak organisasi menganggap data yang sudah terenkripsi aman. Namun, dalam konteks Zero Trust, semua lalu lintas—baik terenkripsi maupun tidak—harus tetap diperiksa. Hal ini bertujuan untuk menghilangkan blind spot yang sering dimanfaatkan penyerang.

   Dengan memantau dan memfilter semua data yang masuk dan keluar, risiko kebocoran bisa ditekan.

Strategi Tambahan untuk Mencegah Double Extortion Ransomware

Selain membangun fondasi keamanan dengan Zero Trust, perusahaan juga perlu melengkapi pertahanannya dengan langkah-langkah berikut:

1. Terapkan Kebijakan Keamanan yang Konsisten
   Perusahaan modern kini banyak mengandalkan kerja jarak jauh. Hal ini meningkatkan kompleksitas keamanan karena karyawan bisa mengakses sistem perusahaan dari berbagai lokasi dan perangkat.

   Untuk mengatasi hal ini, penerapan Secure Access Service Edge (SASE) sangat disarankan. SASE memastikan autentikasi dan kebijakan keamanan tetap berlaku di mana pun karyawan bekerja. Dengan begitu, tidak ada celah yang bisa dimanfaatkan penyerang akibat inkonsistensi kebijakan.

2. Gunakan Data Loss Prevention (DLP)
   Dalam serangan double extortion, pencurian data sama bahayanya dengan enkripsi data. Oleh karena itu, perusahaan harus melindungi informasi sensitif dengan DLP tools.

   Teknologi DLP bekerja dengan mendeteksi dan mencegah transfer data yang mencurigakan. Misalnya, jika ada upaya untuk mengirim dokumen rahasia ke luar jaringan tanpa izin, sistem bisa langsung memblokirnya.

3. Selalu Perbarui Perangkat Lunak dan Lakukan Pelatihan Keamanan
   Banyak serangan siber berhasil karena perusahaan lalai memperbarui perangkat lunaknya. Patch keamanan yang tidak dipasang tepat waktu bisa menjadi pintu masuk bagi penyerang.

   Selain itu, faktor manusia juga sangat berperan. Banyak serangan ransomware bermula dari email phishing yang diklik oleh karyawan. Untuk itu, pelatihan kesadaran keamanan secara rutin wajib dilakukan. Karyawan harus mampu mengenali tanda-tanda email mencurigakan, situs palsu, atau permintaan akses yang tidak wajar.

4. Siapkan Rencana Respons Darurat
   Tidak ada sistem yang 100% aman. Oleh karena itu, setiap perusahaan harus memiliki rencana darurat untuk menghadapi skenario terburuk. Beberapa langkah penting meliputi:

   • Backup data secara berkala di lokasi yang terisolasi, sehingga data tetap bisa dipulihkan meski serangan terjadi.
   • Asuransi siber untuk membantu menanggung kerugian finansial akibat serangan.
   • Rencana respons insiden yang jelas, termasuk siapa yang harus dihubungi, langkah teknis yang harus diambil, dan bagaimana komunikasi dengan publik akan dilakukan.

   Dengan rencana yang matang, dampak serangan bisa diminimalkan.

Banyak perusahaan tergoda untuk membayar tebusan demi mempercepat pemulihan. Namun, langkah ini berisiko besar. Tidak ada jaminan bahwa penjahat siber akan benar-benar mengembalikan data atau menghapus salinan yang mereka curi.

Selain itu, membayar hanya memperkuat model bisnis penyerang, membuat mereka semakin termotivasi untuk melancarkan serangan serupa ke korban lain. Bahkan, beberapa perusahaan yang pernah membayar justru menjadi target berulang karena dianggap "mudah diperas".

Dengan kata lain, investasi dalam pencegahan dan persiapan jauh lebih efektif dibanding membayar tebusan.

Kesimpulan

Double extortion ransomware adalah evolusi berbahaya dari ransomware tradisional. Dengan taktik mencuri sekaligus mengenkripsi data, penyerang memiliki kendali penuh atas korban. Kasus-kasus besar seperti Colonial Pipeline, HSE Irlandia, dan JBS S.A. membuktikan betapa besar dampaknya terhadap dunia nyata.

Untuk itu, organisasi perlu meningkatkan kesadaran dan pertahanan, mulai dari pelatihan karyawan untuk menghindari phishing, patching rutin, penerapan zero trust security, hingga strategi backup yang kuat.

Karena pada akhirnya, serangan ini bukan hanya soal kehilangan data, tetapi juga soal kepercayaan, reputasi, dan keberlangsungan bisnis.