Verihubs Logo
Home Blog Ransomware Adalah: Cara Kerja, Contoh Kasus, dan Pencegahan
12 min read KYC Published on June 17, 2026

Ransomware Adalah: Cara Kerja, Contoh Kasus, dan Pencegahan

Ransomware Adalah: Cara Kerja, Contoh Kasus, dan Pencegahan

Ransomware adalah jenis malware yang mengenkripsi data korban dan menuntut pembayaran tebusan agar akses data dapat dipulihkan. Serangan ransomware terhadap Bank Syariah Indonesia (BSI) pada 2023 dan Pusat Data Nasional Sementara (PDNS) pada 2024 menjadi dua kasus terbesar yang mengguncang sektor keuangan dan infrastruktur digital Indonesia. Pencegahan dimulai dari backup terenkripsi dengan strategi 3-2-1, patch management rutin, dan verifikasi identitas ketat di semua access point sebagai garis pertahanan terakhir.

Apa Itu Ransomware? Definisi dan Cara Kerjanya Secara Teknis

Pencegahan ransomware yang terbukti menerapkan Kerangka Pertahanan Berlapis terhadap Ransomware (Defense-in-Depth): setiap lapisan dirancang untuk menghentikan serangan di fase berbeda, sehingga kegagalan satu lapisan tidak berarti kompromi total.

Ransomware adalah kategori malware yang mengunci atau mengenkripsi data dan sistem korban, lalu menampilkan pesan permintaan tebusan (ransom) dengan imbalan kunci dekripsi atau pemulihan akses. Berbeda dari malware biasa yang mencuri data secara diam-diam, ransomware sengaja memberitahu korban tentang keberadaannya karena model bisnisnya memang bergantung pada kemampuan bernegosiasi dan membayar.

Sektor keuangan menjadi target prioritas bukan tanpa alasan. Data keuangan yang terenkripsi tidak hanya berarti gangguan operasional, tapi potensi kerugian reputasi masif dan pelanggaran regulasi yang berbiaya lebih besar dari tebusan itu sendiri. Tekanan berlapis inilah yang membuat ransomware menjadi instrumen yang sangat efektif secara ekonomi bagi pelakunya.

Tahapan Serangan Ransomware: Dari Infeksi hingga Enkripsi

Serangan ransomware tidak terjadi dalam semalam. Ada pola yang berulang:

  1. Initial Access: Masuk melalui phishing email, eksploitasi kerentanan VPN/RDP yang belum dipatch, atau kredensial yang dicuri.
  2. Lateral Movement: Setelah masuk, attacker bergerak di dalam jaringan untuk mendapatkan akses lebih luas dan mengidentifikasi target data paling berharga.
  3. Data Exfiltration: Sebelum enkripsi, grup ransomware modern mencuri salinan data untuk digunakan sebagai leverage tambahan (double extortion).
  4. Deployment: Ransomware dijalankan secara bersamaan di seluruh sistem yang sudah diinfiltrasi untuk memaksimalkan dampak.
  5. Ransom Demand: Pesan tebusan ditampilkan dengan instruksi pembayaran via cryptocurrency.

Waktu antara initial access dan deployment ransomware (dwell time) bisa berlangsung berminggu-minggu atau bahkan berbulan-bulan, memberikan peluang bagi sistem keamanan yang baik untuk mendeteksi sebelum kerusakan terjadi.

Perbedaan Ransomware, Malware Biasa, dan Doxware

Ransomware adalah malware paling merusak dalam ekosistem ancaman siber karena ia tidak hanya mencuri, tapi aktif menghancurkan aksesibilitas data. Malware biasa (seperti spyware atau keylogger) bekerja secara tersembunyi tanpa membuat sistem tidak berfungsi. Doxware (atau leakware) adalah evolusi yang menggabungkan enkripsi ransomware dengan ancaman publikasi data sensitif jika tebusan tidak dibayar. Ini yang terjadi dalam kasus BSI dan PDNS: data dicuri sebelum dienkripsi, memberi pelaku leverage berlapis. Ancaman ini dibahas lebih dalam di artikel doxware: ketika ransomware bertemu eksfiltrasi data pribadi.

Jenis-Jenis Ransomware yang Aktif Menyerang Indonesia

Nama/KelompokKarakteristikKorban TerkenalMetode Distribusi
LockBit 3.0RaaS, enkripsi cepat, dark web leak siteBSI Indonesia 2023Exploit RDP, phishing, credential theft
Brain CipherBerbasis LockBit, enkripsi tanpa kunci dekripsi awalPDNS Kominfo 2024Eksploitasi kerentanan sistem Windows
ContiOperasi terstruktur seperti perusahaan, tersebar globalMultiple global targetsSpear phishing, eksploitasi software
Ryuk/ChaosMenarget jaringan enterprise, tebusan tinggiRumah sakit, utilitasTrojan Trickbot sebagai dropper

Crypto Ransomware: Enkripsi File Total

Memahami fraud berbasis ransomware dalam ekosistem kejahatan siber adalah konteks penting: Ini varian yang paling umum dan paling merusak. Crypto ransomware mengenkripsi semua file di sistem dengan kunci enkripsi yang hanya diketahui attacker. Tanpa kunci ini, data secara teknis tidak bisa dipulihkan, bahkan oleh ahli forensik digital sekalipun jika enkripsi menggunakan algoritma modern yang kuat. Inilah mengapa backup yang tidak terhubung ke jaringan utama (offline backup) adalah satu-satunya jaminan pemulihan yang sesungguhnya.

RaaS (Ransomware-as-a-Service): Model Bisnis Kejahatan Siber Modern

RaaS telah mengubah lanskap ransomware secara fundamental. Kelompok ransomware besar seperti LockBit tidak lagi hanya menyerang sendiri, mereka menyewakan infrastruktur dan kode ransomware ke “afiliasi” yang melakukan serangan dan membagi hasil tebusan. Model ini menurunkan hambatan masuk secara dramatis: seseorang tanpa keahlian teknis mendalam bisa melancarkan serangan ransomware dengan menyewa akses ke platform RaaS.

Kasus Ransomware di Indonesia: BSI 2023 dan PDNS 2024

Dua kasus ini bukan hanya insiden keamanan siber. Mereka menjadi benchmark untuk memahami konsekuensi nyata dari infrastruktur keamanan yang tidak memadai di institusi dengan data sensitif skala besar.

Dampak Serangan BSI: Data Nasabah dan Downtime Layanan

Pada Mei 2023, Bank Syariah Indonesia (BSI) mengalami gangguan layanan selama beberapa hari akibat serangan ransomware LockBit 3.0, insiden yang dikonfirmasi manajemen BSI secara publik dan diinvestigasi Bareskrim Polri 2023. Kelompok LockBit mengklaim telah mencuri 1,5 terabyte data dari BSI, termasuk data nasabah dan karyawan, serta memberikan ultimatum pembayaran tebusan. Dampak operasional: layanan ATM, mobile banking, dan transaksi teller terganggu selama beberapa hari, memengaruhi jutaan nasabah. BSI adalah salah satu bank syariah terbesar Indonesia, dan insiden ini mengirimkan sinyal kuat tentang kerentanan sektor keuangan terhadap serangan ransomware terorganisir.

Pelajaran dari Insiden PDNS Kominfo 2024

Pada Juni 2024, Pusat Data Nasional Sementara (PDNS) yang dikelola Kementerian Komunikasi dan Informatika (Kominfo) diserang oleh ransomware Brain Cipher, varian yang berbasis pada LockBit. Insiden ini mengganggu ratusan layanan pemerintah, termasuk layanan imigrasi, selama berminggu-minggu. Pelaku meminta tebusan delapan juta dolar AS tapi kemudian merilis kunci dekripsi secara cuma-cuma sambil meminta maaf, sebuah manuver yang tidak lazim dalam ekosistem ransomware. Satu temuan kritis yang muncul: sebagian besar data di PDNS tidak di-backup secara memadai, memperpanjang waktu pemulihan; beberapa layanan baru pulih setelah lebih dari tiga minggu.

Regulasi dan Kewajiban Pelaporan Insiden Ransomware di Indonesia

Ransomware yang mengakibatkan kebocoran data memiliki konsekuensi regulasi yang berlapis, tidak hanya konsekuensi teknis.

UU PDP No. 27/2022: Kewajiban Notifikasi Kebocoran Data

Jika serangan ransomware mengakibatkan kebocoran data pribadi (yang hampir selalu terjadi dalam skenario double extortion), UU PDP No. 27/2022 mewajibkan notifikasi ke otoritas pengawas dan subjek data yang terdampak dalam 14 hari setelah insiden diketahui. Kegagalan notifikasi adalah pelanggaran tersendiri yang mengakibatkan sanksi tambahan di luar kerusakan dari ransomware itu sendiri.

Standar BSSN untuk Respons Insiden Siber

Badan Siber dan Sandi Negara (BSSN) telah menerbitkan pedoman respons insiden siber yang mencakup prosedur penanganan ransomware. Institusi yang termasuk dalam kategori infrastruktur informasi kritis (seperti sektor keuangan, kesehatan, dan pemerintah) wajib melaporkan insiden siber signifikan ke BSSN dalam jangka waktu tertentu. Kerangka ini memastikan ada koordinasi nasional dalam penanganan insiden yang bisa memiliki dampak sistemik.

7 Langkah Pencegahan Ransomware untuk Bisnis Keuangan

Backup Strategy: 3-2-1 Rule

Aturan 3-2-1 adalah standar industri untuk backup yang tahan ransomware: 3 salinan data, disimpan di 2 media berbeda, dengan 1 salinan berada di lokasi offsite (atau offline, tidak terhubung ke jaringan yang bisa diserang). Pelajaran kritis dari insiden PDNS: backup yang tidak diuji secara berkala sama buruknya dengan tidak ada backup sama sekali. Setiap backup harus diuji pemulihan-nya secara periodik untuk memastikan data yang tersimpan dapat benar-benar dipulihkan.

Akses Identitas Terverifikasi sebagai Gerbang Terakhir

Mayoritas serangan ransomware dimulai dari akses tidak sah ke credential yang valid: username dan password karyawan yang dicuri melalui phishing atau credential stuffing. Ini yang membuat verifikasi identitas menjadi komponen pencegahan yang sering diabaikan dalam strategi anti-ransomware. Sistem yang memerlukan verifikasi biometrik untuk akses ke data kritis jauh lebih sulit dieksploitasi oleh ransomware yang baru mendapatkan credential, karena credential saja tidak cukup.

Bagaimana Verihubs Membantu Meminimalkan Permukaan Serangan Ransomware

Verihubs mendukung bisnis dalam menerapkan prinsip zero-trust identity di titik-titik akses yang paling rentan. Dengan memastikan setiap akses ke data dan sistem sensitif memerlukan verifikasi identitas yang tidak bisa dipalsukan oleh credential curian semata, permukaan serangan yang bisa dieksploitasi ransomware menjadi jauh lebih kecil.

Ini adalah pendekatan yang melengkapi, bukan menggantikan, solusi endpoint protection dan backup. Ancaman fraud berbasis ransomware di sektor keuangan yang terus berkembang membutuhkan respons berlapis, dan lapisan identitas adalah salah satu yang paling sering tidak dioptimalkan.

FAQ Ransomware

Apa yang harus dilakukan jika terkena ransomware?
Langkah pertama: isolasi perangkat yang terinfeksi dari jaringan segera untuk mencegah penyebaran. Jangan matikan perangkat karena beberapa jenis ransomware menyimpan kunci dekripsi di memori. Hubungi tim keamanan siber atau BSSN. Laporkan ke kepolisian (Ditipidsiber Bareskrim). Jangan bayar tebusan sebelum berkonsultasi dengan ahli, karena tidak ada jaminan data akan dipulihkan meski tebusan dibayar.
Haruskah membayar tebusan ransomware?
Panduan umum dari BSSN, FBI, dan lembaga keamanan siber internasional adalah tidak merekomendasikan pembayaran tebusan. Membayar tidak menjamin data dipulihkan, mendanai operasi kriminal, dan membuat korban dikenal sebagai target yang bersedia membayar untuk serangan berikutnya. Pilihan terbaik adalah pemulihan dari backup yang bersih.
Apa perbedaan ransomware dan malware biasa?
Malware biasa bekerja secara tersembunyi untuk tujuan seperti mencuri data atau memantau aktivitas tanpa membuat sistem tidak berfungsi. Ransomware secara aktif memberitahu korban tentang keberadaannya dan sengaja membuat data tidak bisa diakses sebagai leverage untuk memeras pembayaran tebusan.
Seberapa besar kerugian ransomware di Indonesia?
Kerugian sulit diukur secara menyeluruh karena banyak insiden tidak dilaporkan secara publik. Berdasarkan kasus yang terdokumentasi, seperti insiden BSI 2023 dan PDNS 2024, biaya pemulihan, downtime operasional, dan potensi sanksi regulasi jauh melebihi nilai nominal tebusan yang diminta.
Apakah ransomware bisa menyerang HP?
Ya, meskipun lebih jarang dibanding PC. Ransomware mobile terutama menarget Android melalui aplikasi dari sumber tidak resmi. Ransomware mobile umumnya mengunci layar perangkat (screen locker) daripada mengenkripsi file, karena arsitektur Android mempersulit enkripsi sistem file secara penuh.
Apakah membayar tebusan ransomware menjamin data kembali?
Tidak ada jaminan. FBI dan BSSN merekomendasikan tidak membayar tebusan karena pelaku tidak selalu memberikan kunci dekripsi, dan pembayaran mendanai operasi kriminal berikutnya. Data yang ‘dikembalikan’ juga sering masih rusak atau terenkripsi sebagian. Backup terisolasi dan incident response plan yang disiapkan sebelum serangan adalah pertahanan terbaik.

Ransomware Adalah Cermin Kelemahan Verifikasi Akses

Pola yang konsisten di hampir semua insiden siber besar di Indonesia: serangan ransomware tidak dimulai dari eksploitasi kerentanan zero-day yang canggih. Mereka dimulai dari credential yang dicuri, akses RDP yang terbuka, atau karyawan yang terjebak phishing. Titik masuk yang manusiawi, bukan teknis.

Ini menggeser perspektif dari “bagaimana memperkuat teknologi” ke “bagaimana memastikan akses ke teknologi selalu melalui identitas yang terverifikasi.” Enkripsi data backup yang kuat dan patch management yang disiplin tetap fundamental. Tapi tanpa lapisan verifikasi identitas yang tidak bisa dilewati hanya dengan credential curian, celah masuknya akan terus ada.

Minimalkan Permukaan Serangan Ransomware dengan Verifikasi Akses yang Kuat

Pilih solusi verifikasi identitas yang sudah terbukti memenuhi standar POJK dan UU PDP. Diskusikan kebutuhan spesifik bisnis Anda dengan tim Verihubs untuk mendapatkan rekomendasi teknologi yang tepat.

Client Verihubs
Cari tahu seberapa akurat teknologi Liveness Detection Verihubs
Coba GRATIS Sekarang
Lihat Blog