Ransomware Adalah: Pengertian, Jenis, Cara Kerja, dan Cara Mencegahnya

Ransomware adalah jenis malware yang mengenkripsi file korban dan meminta pembayaran tebusan agar akses data dipulihkan. Nama ini berasal dari kata ransom (tebusan) dan software. Serangan ransomware menargetkan individu, perusahaan, hingga lembaga pemerintah — dan Indonesia sudah menjadi korbannya. 

Ransomware kini menjadi salah satu ancaman siber paling serius bagi organisasi di seluruh dunia, termasuk Indonesia. Serangan ini tak hanya mengunci akses terhadap data penting, tapi juga bisa melumpuhkan operasional bisnis dan menimbulkan kerugian finansial yang besar. Di Indonesia sendiri, berbagai kasus ransomware telah mencuat ke publik, mulai dari serangan terhadap sektor perbankan hingga instansi pemerintahan.

Lantas, apa itu ransomware? Mengapa kita perlu memusatkan perhatian pada ransomware dan bagaimana cara terbaik untuk mencegah serta menanganinya? Temukan jawabannya di artikel blog ini.

 

Apa itu ransomware?

Ransomware adalah jenis malware di mana data sensitif organisasi dicuri dan disimpan, sampai tebusan dibayar. Biasanya, pelaku ransomware akan mengenkripsi data dan mengunci akses ke data tersebut, bahkan mengancam untuk mempublikasikan data jika organisasi tidak membayar tebusan.

Ransomware kini telah berkembang menjadi industri yang bernilai miliaran dolar AS. Banyak kelompok-kelompok cybercriminal terbentuk untuk mengembangkan serangan ransomware yang memanfaatkan teknologi terkini, kemudian menargetkan perusahaan-perusahaan besar dengan harapan mendapatkan keuntungan dari uang tebusan.

Penyebab terjadinya serangan ransomware di suatu organisasi pun beragam. Beberapa di antaranya berasal dari semakin luasnya permukaan serangan (attack surface), misalnya kerentanan pada sistem yang tidak diperhatikan. Selain itu, ada pula yang disebabkan oleh kelalaian manusia, seperti mengklik email phishing atau malvertisement yang mengandung ransomware.

 

Apa saja jenis ransomware?

Jenis-jenis dan contoh ransomware yaitu berikut ini:

JenisCara kerjaContoh

Crypto Ransomware

Mengenkripsi file, lalu meminta tebusan untuk kunci dekripsi

CryptoLocker, WannaCry, LockBit

Locker Ransomware

Mengunci seluruh sistem, file tidak dienkripsi

Reveton

Leakware / Doxware

Mencuri data lalu mengancam mempublikasikannya

Maze, REvil

Ransomware-as-a-Service (RaaS)

Model bisnis: developer menyewakan ransomware ke affiliate

LockBit 3.0, BlackCat

Scareware

Menakut-nakuti user dengan pesan palsu untuk memaksa bayar

Rogue security software

 

Seperti apa cara kerja ransomware?

Serangan ransomware memiliki proses yang terstruktur, bertahap, dan sering kali berlangsung diam-diam selama berminggu-minggu sebelum enkripsi terjadi. Berikut ini adalah tahap-tahap yang umum terjadi dalam serangan ransomware. Menurut laporan IBM Cost of a Data Breach 2025, rata-rata waktu yang dibutuhkan untuk mengidentifikasi dan menangani insiden ransomware adalah 241 hari.

Tahap 1: Initial access

Mayoritas serangan ransomware dimulai dari salah satu dari tiga vektor utama:

  • Email phishing: Email yang memuat lampiran atau tautan berbahaya untuk mengeksploitasi user. 

  • Kredensial yang bocor: Username dan password yang didapat dari dark web, credential stuffing, atau kebocoran data sebelumnya.

  • Eksploitasi kerentanan: Pemanfaatan CVE yang belum di-patch, baik pada software edge (VPN, firewall) maupun aplikasi internal.

Tahap 2: Persistence & reconnaissance

Setelah masuk, penyerang tidak langsung mengekripsi. Mereka akan diam-diam membantu persistence, memastikan akses tidak terputus meski password diganti atau sesi berakhir. Setelah itu, mereka akan melakukan reconnaissance dengan:

  • Mengidentifikasi aset bernilai tinggi (server backup, domain controller, database keuangan)

  • Memetakan struktur jaringan internal

  • Mengumpulkan kredensial tambahan melalui teknik seperti credential dumping (misalnya menggunakan tools seperti Mimikatz)

  • Menonaktifkan atau memanipulasi solusi keamanan yang terdeteksi

Tahap ini bisa berlangsung dari beberapa hari hingga beberapa bulan. Selama periode ini, deteksi dini sangat efektif, namun juga paling sering terlewat karena aktivitas penyerang biasanya menyerupai traffic jaringan normal.

Tahap 3: Lateral movement & privilege escalation

Setelah memahami jaringan, penyerang bergerak secara horizontal ke sistem lain (lateral movement) sambil terus menaikkan level akses (privilege escalation) hingga mencapai domain admin atau akun dengan akses penuh ke seluruh infrastruktur.

Teknik yang umum digunakan yaitu:

  • Pass-the-Hash/Pass-the-Ticket: Penggunaan credential hash tanpa perlu tahu password aslinya

  • Living-off-the-land: Pemanfaatan tool bawaan Windows (PowerShell, WMI, PsExec) agar tidak terdeteksi solusi antivirus konvensional

  • Eksploitasi trust relationship: Penyalahgunaan kepercayaan antarsistem dalam domain yang sama

Keberhasilan tahap ini ditentukan oleh struktur jaringan. Jika jaringan tidak memiliki segmentasi, maka penyerang bisa menjangkau seluruh infrastruktur dengan semakin cepat.

Tahap 4: Data exfiltration

Tahap ini merupakan ciri khas ransomware generasi modern. Sebelum mengenkripsi data, penyerang terlebih dahulu mengeksfiltrasi salinan data sensitif ke server eksternal yang mereka kendalikan.

Taktik ini dikenal sebagai double extortion. Korban tidak hanya diancam dengan data yang terkunci, tetapi juga dengan ancaman publikasi data tersebut ke publik atau dijual ke kompetitor jika tebusan tidak dibayar.

Tahap 5: Encryption & extortion

Di tahap ini, serangan ransomware dapat dilihat dengan jelas secara kasat mata. Ransomware akan mengenkripsi file secara masif lalu menampilkan ransom note berisi instruksi pembayaran.

Beberapa hal yang terjadi di tahap ini:

  • File dienkripsi menggunakan algoritma asimetris (umumnya kombinasi AES + RSA) yang tidak bisa didekripsi tanpa kunci dari penyerang

  • Shadow copies dan backup lokal dihapus untuk mempersulit recovery mandiri

  • Tenggat waktu pembayaran ditetapkan. Jika semakin lama mengulur waktu, tebusan akan semakin besar

  • Beberapa varian ransomware menonaktifkan mode recovery Windows dan menghapus event log untuk mempersulit forensik

Pada titik ini, opsi yang tersisa hanya membayar tebusan (tidak dijamin data kembali dan melanggar best practice), melakukan recovery dari backup yang bersih dan terisolasi, atau menerima kehilangan data.

 

Apa contoh kasus ransomware di Indonesia?

Kasus ransomware di Indonesia bukan hal baru. Berkali-kali, serangan ini menimbulkan kerugian di berbagai organisasi di Indonesia. Tahun 2023 misalnya, ransomware LockBit 3.0. menyerang Bank Syariah Indonesia, melumpuhkan layanan dan membocorkan data sensitif secara besar-besaran. Jumlah data yang dibocorkan sekitar 1,5 terabyte data, termasuk informasi pribadi 15 juta nasabah dan lebih dari 24.000 karyawan BSI.

Contoh ransomware attack lain di Indonesia adalah pembobolan Pusat Data Nasional Sementara (PDNS) akibat ransomware Lockbit 3.0 pada Juni 2024. Serangan ini menyebabkan 282 layanan instansi pemerintahan mengalami gangguan, mulai dari layanan imigrasi hingga Penerimaan Peserta Didik Baru (PPDB) di tingkat sekolah.

Awalnya, serangan diidentifikasi dengan adanya upaya menonaktifkan fitur keamanan Windows Defender. Setelah itu, aktivitas-aktivitas mencurigakan—seperti instalasi file berbahaya, penghapusan file penting, dan pemberhentian layanan yang masih aktif—semakin sering terjadi. Pakar keamanan siber menyebut lemahnya pertahanan siber sebagai penyebab utama serangan ini.

 

Mengapa ransomware membutuhkan perhatian penuh?

Setiap organisasi sebaiknya memberi perhatian serius terhadap ransomware. Tata kelola ransomware harus dijadikan sebagai salah satu prioritas organisasi. Hal ini menjadi semakin krusial karena alasan-alasan berikut.

Ransomware itu mahal

Ransomware bukan hanya mengancam data, tetapi juga menguras biaya besar. Berdasarkan laporan dari Forrester, organisasi APAC menghabiskan sekitar $3.2 juta untuk menangani ransomware. Jumlah ini lebih rendah daripada Eropa ($3.3 juta), namun jauh lebih tinggi daripada Amerika Utara ($2.9).

Mengapa bisa begitu mahal? Sebab, kerugian ransomware datang dari berbagai sisi. Jika penyerang meminta tebusan, Anda punya pilihan untuk membayarnya. Nilainya beragam, tergantung pada jumlah dan nilai data yang dicuri. Namun, yang mengkhawatirkan, nilai tebusan terus melonjak tiap tahunnya—bahkan dalam satu tahun terakhir meningkat drastis hingga 500%, dari $400.000 di tahun 2023 menjadi $2 juta pada 2024.

Bagaimana jika Anda tidak mau membayar tebusan? Tetap saja, ada harga yang perlu dibayar. Beberapa organisasi memilih untuk tidak membayar tebusan, namun mereka tetap mengeluarkan banyak biaya. Itu karena mereka mengeluarkan uang untuk biaya pemulihan data, backup, komunikasi media, gangguan operasional, hingga jasa konsultan keamanan.

Ransomware itu sering terjadi

Berdasarkan laporan Forrester, 26% organisasi di Asia Pasifik mengalami ransomware pada tahun 2024. Persentase ini adalah yang terbanyak, jika dibandingkan dengan region lain seperti Eropa (14%) dan Amerika Utara (17%).

Salah satu pendorong tingginya ransomware di Asia Pasifik adalah laju digitalisasi. Di balik kepraktisan digitalisasi, ternyata ada bahaya ransomware yang mengintai. Nyatanya, semakin digital suatu organisasi, kemungkinan terkena ransomware juga semakin besar.

Digitalisasi berarti lebih banyak sistem, aplikasi, dan data yang terhubung secara online. Hal ini menciptakan lebih banyak attack surface, atau titik masuk yang bisa dimanfaatkan penyerang untuk mengeksploitasi celah keamanan. Semakin besar attack surface, semakin banyak pula celah potensial yang bisa dimanfaatkan untuk melancarkan serangan.

Ransomware semakin berkembang

Penggunaan teknologi yang seharusnya dimanfaatkan organisasi untuk membawa kebaikan, ternyata juga dimanfaatkan oleh pelaku ransomware. Penggunaan tool AI misalnya, dimanfaatkan oleh grup ransomware FunkSec untuk melakukan aksi mereka. Grup ini memanfaatkan AI untuk membuat code yang canggih dan mampu menghindari deteksi. Penggunaan AI dalam ransomware dinilai memudahkan operasi, sehingga ransomware dapat lebih mudah dilakukan dan menjaring korban.

Ransomware menganggu layanan

Ransomware memungkinkan Anda kehilangan data organisasi yang berharga. Untuk mengembalikan data tersebut, Anda memiliki dua opsi: melakukan pemulihan dari database backup atau terpaksa membayar tebusan.

Jika memilih opsi pertama, Anda perlu menentukan waktu backup yang tepat agar pengalaman pengguna dan karyawan tidak terganggu. Namun, jika memiih opsi kedua, Anda harus siap menerima risiko. Sebab, tidak ada jaminan data dapat kembali meskipun tebusan sudah dibayar. Kalau pun dikembalikan, data bisa jadi tidak lengkap atau corrupt.

Secara keseluruhan, kehilangan atau tidak bisanya data diakses selama serangan ransomware dapat mengganggu layanan organisasi. Misalnya, pelanggan yang tidak dapat mengakses datanya bisa mengalami frustrasi dan membanjiri tim support Anda dengan tiket permintaan bantuan. Proses layanan pun jadi terhenti atau melambat drastis, menyebabkan penurunan produktivitas dan kerusakan reputasi di mata publik.

 

Bagaimana cara mencegah ransomware di organisasi?

Sebelum ransomware terjadi, lakukan cara mencegah ransomware berikut untuk mencegahnya:

1. Membangun postur keamanan siber yang kuat

Langkah pertama mencegah ransomware adalah memperkuat sistem keamanan secara menyeluruh. Hal ini mencakup penggunaan firewall, antivirus, software deteksi ransomware seperti DataSecurity Plus, dan tool filter email. Selain itu, semua perangkat lunak harus juga harus diperbarui secara berkala untuk menutup celah keamanan (vulnerability) yang bisa dimanfaatkan oleh pelaku ransomware.

2. Mengadakan security awareness training

Phishing adalah salah satu metode populer dalam penyebaran ransomware. Sayangnya, masih banyak orang yang terkena jeratan phishing. Oleh karena itu, security awareness training dan simulasi phishing untuk karyawan sangat penting, terutama dalam mengenali email mencurigakan, attachment berbahaya, atau link palsu.

3. Menerapkan patch management

Ransomware sering memanfaatkan vulnerability pada sistem operasi atau aplikasi. Dengan menggunakan solusi patch management seperti Patch Manager Plus, organisasi bisa mendeteksi, menguji, dan menginstal patch keamanan secara otomatis dan terjadwal.

Patch Manager Plus juga bisa memprioritaskan patch terhadap vulnerability yang telah diketahui sering dieksploitasi ransomware, terutama pada layanan yang berhubungan dengan internet seperti VPN, RDP, Active Directory, dan web server.

4. Mengelola akses dengan aman

Akses ke resource penting dalam organisasi perlu dikelola agar tetap aman. Caranya adalah membatasi akses pengguna hanya pada data dan sistem yang mereka perlukan serta mengelola akun dengan hak akses (privilege) tinggi secara ketat menggunakan solusi PAM. Solusi ini tak hanya bisa mengelola privileged account, tetapi juga bisa memonitor dan merekam seluruh aktivitas mereka.

Selain itu, organisasi juga perlu mengaktifkan Multi-Factor Authentication (MFA), terutama pada akun administrator, VPN, dan Remote Desktop Protocol (RDP). Langkah ini dapat mengurangi risiko brute-force attack maupun penyalahgunaan kredensial yang dicuri.

5. Mencadangkan data secara rutin

Backup harus dilakukan secara rutin dan disimpan di berbagai media penyimpanan, tergantung pada tingkat kepentingan data. Semakin krusial data tersebut, semakin tinggi pula performa media penyimpanan yang dibutuhkan agar proses backup dan pemulihan berjalan optimal. Anda bisa mengombinasikan media penyimpanan on-premise, off-site data center, dan cloud.

Backup sebaiknya mengikuti prinsip 3-2-1, yaitu memiliki tiga salinan data pada dua media berbeda dengan satu salinan disimpan secara offline atau air-gapped. Backup juga harus diuji secara berkala melalui proses restore untuk memastikan data benar-benar dapat dipulihkan ketika terjadi insiden ransomware.

6. Melakukan continuous monitoring

Organisasi perlu memantau log keamanan, aktivitas pengguna, perubahan file, dan trafik jaringan secara berkelanjutan untuk mendeteksi perilaku abnormal sebelum ransomware melakukan enkripsi. Solusi ManageEngine Log360 menyediakan korelasi log, UEBA (User and Entity Behavior Analytics), serta alert otomatis yang membantu SOC mengidentifikasi ancaman lebih cepat.

Selain itu, organisasi juga perlu memanfaatkan threat intelligence untuk memperoleh informasi terbaru mengenai indikator kompromi (IOC), TTP (tactics, techniques, and procedures), serta kampanye ransomware yang sedang aktif. Dengan begitu, tim keamanan dapat memperbarui aturan deteksi dan merespons ancaman lebih cepat.

 

Bagaimana cara mengatasi ransomware di organisasi?

Bagaimana jika ransomware sudah terlanjur terjadi? Ini cara mengatasi ransomware yang bisa Anda terapkan saat insiden terjadi dan setelah organisasi terdampak.

1. Mengisolasi endpoint yang terinfeksi

Segera putuskan koneksi endpoint dari jaringan LAN, Wi-Fi, VPN, maupun shared storage agar ransomware tidak melakukan lateral movement ke perangkat lain. Hindari mematikan perangkat secara paksa sebelum proses investigasi karena informasi penting di memori dapat hilang.

2. Melakukan konsultasi dengan jajaran eksekutif dan tim terkait

Saat terjadi ransomware, komunikasi yang transparan perlu diterapkan dalam ruang lingkup internal. Tak hanya dengan tim yang menangani keamanan IT, tetapi juga dengan jajaran eksekutif. Sebagai pimpinan, keputusan mengenai langkah penanganan selanjutnya perlu diambil, misalnya apakah perlu membayar tebusan, memulihkan data sendiri dari backup, atau mengembangkan decryptor sendiri.

Namun, pada umumnya tebusan tidak perlu dibayar sebab tidak ada jaminan data akan kembali atau tidak dipublikasikan. Dalam proses ini, organisasi juga sebaiknya melapor ke Badan Siber dan Sandi Negara (BSSN) atau Computer Security Incident Response Team (CSIRT) di organisasi maupun instansi terkait.

3. Mengaktifkan incident response plan

Organisasi seharusnya memiliki incident response plan. Dalam rencana ini, biasanya terdapat prosedur eskalasi kepada tim IT atau SOC (Security Operations Center), dokumentasi langkah-langkah yang diambil, dan anjuran untuk tidak langsung mematikan sistem karena bisa menghilangkan jejak penting untuk forensik.

Jika organisasi menggunakan Log360, tim SOC dapat memanfaatkan predefined ransomware correlation rules dan incident response workflow untuk mendeteksi aktivitas ransomware serta mengotomatisasi tindakan mitigasi seperti mengirim alert, menjalankan script respons, atau mengisolasi endpoint.

4. Menganalisis ransomware

Gunakan tool forensik untuk mengidentifikasi jenis ransomware, vektor serangan, dan cakupan infeksi. Informasi ini akan membantu menentukan apakah data bisa dipulihkan tanpa membayar tebusan, dan apakah ada decryptor publik yang tersedia.

Selain mengidentifikasi jenis ransomware, tim security juga perlu melakukan threat hunting berdasarkan IOC (Indicators of Compromise), seperti file hash, IP address, domain, registry, maupun proses yang dijalankan pelaku. Analisis log dari SIEM akan membantu menentukan entry point dan timeline serangan.

5. Memulihkan sistem dari backup

Jika backup tersedia, mulai proses pemulihan data dan sistem secara bertahap. Sebelum itu, pastikan sistem telah benar-benar bersih sebelum melakukan restore. Jika malware masih aktif, ransomware dapat kembali mengenkripsi data yang baru dipulihkan.

Saat melakukan backup, penting untuk mempertimbangkan waktu pemulihan agar tidak mengganggu pengalaman pengguna akhir. Adapun jika ransomware menyebabkan gangguan layanan, prioritaskan pemulihan dataset paling krusial terlebih dahulu agar layanan bisnis bisa segera dilanjutkan.

6. Mengevaluasi insiden

Lakukan investigasi menyeluruh untuk memahami akar penyebab insiden, titik lemah sistem, bagaimana ransomware bisa menyusup, serta tingkat keberhasilan mitigasi ransomware yang dilakukan. Hasil evaluasi ini harus dijadikan dasar membuat panduan untuk memperkuat sistem agar insiden tidak terulang.

Apa yang perlu dievaluasi? Pada umumnya, Anda perlu menginvestigasi seluruh log autentikasi, perubahan konfigurasi, akses RDP, aktivitas PowerShell, dan privilege escalation untuk mengetahui bagaimana attacker memperoleh akses awal.

7. Merevisi kebijakan keamanan

Gunakan pengalaman saat menangani insiden ransomware untuk menyempurnakan kebijakan keamanan. Berdasarkan hasil investigasi, organisasi dapat memperbarui correlation rule SIEM, kebijakan IAM, strategi backup, playbook incident response, serta aturan monitoring agar serangan serupa dapat dideteksi lebih cepat di masa mendatang.

 

Kesimpulan

Ransomware terus berkembang dengan teknik serangan yang semakin canggih, mulai dari phishing, eksploitasi kerentanan, hingga pencurian kredensial dan pergerakan lateral di dalam jaringan. Oleh karena itu, organisasi perlu menerapkan pendekatan keamanan berlapis yang mencakup pencegahan, deteksi dini, respons insiden, hingga pemulihan pasca-serangan untuk meminimalkan risiko dan dampak operasional.

Untuk membantu mendeteksi aktivitas ransomware lebih cepat, solusi cybersecurity ManageEngine menyediakan kapabilitas SIEM yang mampu mengumpulkan dan menganalisis log dari berbagai sumber, mendeteksi anomali melalui correlation rules dan UEBA, serta mengotomatisasi respons insiden sebelum ransomware menyebar ke seluruh jaringan.

Pelajari selengkapnya tentang solusi kami dan lindungi organisasi Anda dari ransomware!

 

FAQ tentang Ransomware

Apa itu ransomware?
Ransomware adalah jenis malware yang mengenkripsi file atau mengunci akses ke sistem korban, kemudian meminta tebusan agar data dapat dipulihkan. Serangan ini dapat menargetkan individu, bisnis, maupun instansi pemerintah dan sering kali disertai ancaman kebocoran data.
Apa saja jenis ransomware?
Beberapa jenis ransomware yang umum ditemukan antara lain crypto ransomware yang mengenkripsi file, locker ransomware yang mengunci perangkat, doxware yang mengancam membocorkan data korban, serta Ransomware-as-a-Service (RaaS) seperti LockBit yang memungkinkan afiliasi melancarkan serangan menggunakan platform ransomware.
Bagaimana cara kerja ransomware?
Ransomware biasanya masuk melalui email phishing, eksploitasi kerentanan, atau kredensial yang dicuri. Setelah memperoleh akses, malware menyebar ke jaringan, mengenkripsi file penting, dan menampilkan pesan tebusan. Beberapa varian juga mencuri data sebelum proses enkripsi sebagai bagian dari strategi double extortion.
Apa yang harus dilakukan jika terkena ransomware?
Segera isolasi perangkat yang terinfeksi dari jaringan untuk mencegah penyebaran ransomware. Setelah itu, lakukan investigasi, laporkan insiden kepada tim keamanan atau CSIRT/BSSN jika diperlukan, dan pulihkan data menggunakan backup offline yang telah dipastikan bersih.
Bagaimana cara mencegah ransomware?
Pencegahan ransomware dapat dilakukan dengan memperbarui sistem secara berkala, menerapkan Multi-Factor Authentication (MFA), membuat backup offline, menggunakan solusi keamanan seperti antivirus, EDR/XDR, dan SIEM, serta meningkatkan kesadaran pengguna terhadap ancaman phishing.
Apakah harus membayar tebusan ransomware?
Tidak disarankan. Membayar tebusan tidak menjamin data akan dipulihkan atau tidak disalahgunakan. Langkah yang lebih tepat adalah melakukan pemulihan dari backup, menghapus malware dari sistem, dan melaporkan insiden kepada pihak yang berwenang.
Apa contoh ransomware yang pernah menyerang Indonesia?
Beberapa contoh serangan ransomware di Indonesia antara lain serangan terhadap Pusat Data Nasional Sementara (PDNS) pada 2024 yang melibatkan varian Brain Cipher, serta serangan terhadap Bank Syariah Indonesia (BSI) pada 2023 yang diklaim dilakukan oleh kelompok LockBit.