Laporan CyberProof 2025 mencatat insiden ransomware melonjak hingga 38% dibanding tahun sebelumnya. Angka ini bukan sekadar statistik—setiap serangan berarti kerugian finansial, hancurnya reputasi, dan lumpuhnya operasi bisnis.
Yang lebih mengkhawatirkan, kelompok ransomware kini memanfaatkan kecerdasan buatan (AI) untuk melancarkan serangan lebih canggih. Dari phishing berbasis deepfake hingga malware adaptif, lanskap ancaman 2025 benar-benar berubah. IBM Cost of Data Breach Report 2024 bahkan mencatat rata-rata kebocoran data global mencapai USD 4,88 juta, meningkat 15% dalam tiga tahun terakhir.
Menelusuri Peta Ancaman Ransomware di Tahun 2025
Dunia ransomware di tahun 2025 tidak lagi didominasi oleh peretas tunggal yang bekerja dari garasi. Sebaliknya, ia telah berkembang menjadi ekosistem kriminal global yang didukung oleh layanan Ransomware-as-a-Service (RaaS). Ini membuat serangan menjadi lebih terorganisir dan mudah diakses oleh siapa saja. Afiliasi RaaS kini dapat membeli atau menyewa infrastruktur dan alat peretasan canggih, memungkinkan mereka melancarkan serangan masif tanpa perlu keahlian teknis mendalam.
Terdapat empat kelompok yang sangat agresif dan canggih secara teknis yang mendominasi lanskap ancaman saat ini: Akira, RansomHub, Qilin, dan Cl0p. Masing-masing kelompok ini punya filosofi operasional yang berbeda, namun secara kolektif, mereka menggambarkan tren yang lebih luas dalam dunia ransomware. Mereka tidak lagi hanya mengenkripsi data; mereka menerapkan taktik pemerasan berlapis-lapis (multi-layer extortion), di mana data sensitif dicuri dan diancam untuk dipublikasikan jika korban tidak membayar. Taktik ini terbukti sangat efektif karena tidak hanya menargetkan kerugian finansial, tetapi juga reputasi dan kepercayaan publik.
Baca juga : Lanskap Siber 2025: Strategi Menerapkan 11 Kontrol Baru ISO 27001 untuk Lawan AI Malware
Bagaimana Mereka Melakukan Serangan? Memahami TTPs
Untuk memahami cara kerja mereka, kita bisa melihat Taktik, Teknik, dan Prosedur (TTP) yang mereka gunakan, sebuah kerangka kerja yang dikenal sebagai MITRE ATT&CK. Kerangka ini menyediakan basis pengetahuan yang terperinci tentang taktik dan teknik yang digunakan oleh para penyerang, membantu para profesional keamanan untuk mengidentifikasi dan memitigasi risiko.
- Akses Awal (Initial Access)
Serangan selalu dimulai dengan penyusupan. Kelompok seperti Cl0p dan RansomHub sering mengeksploitasi kerentanan pada aplikasi publik dan layanan akses jarak jauh, seperti VPN. Akira dikenal karena fokusnya pada eksploitasi VPN faktor tunggal yang kurang aman, sementara Qilin menargetkan kerentanan pada platform backup seperti Veeam untuk melumpuhkan upaya pemulihan data sejak awal. Mereka juga menggunakan kampanye phishing yang canggih dan kredensial yang dicuri atau dibeli di pasar gelap. - Eksekusi (Execution)
Setelah berhasil masuk, para pelaku akan mengeksekusi muatan berbahaya. Keempat kelompok ini menggunakan skrip dan interpreter perintah seperti PowerShell dan Bash untuk menjalankan muatan, mengotomatisasi pergerakan lateral, dan menonaktifkan kontrol keamanan. Qilin menonjol karena menggunakan loader canggih seperti NETXLOADER yang memungkinkan eksekusi dalam memori, sehingga tidak ada file yang disimpan di disk dan jejaknya sulit dilacak. - Peningkatan Hak Istimewa dan Akses Kredensial (Privilege Escalation & Credential Access)
Setelah muatan dieksekusi, target mereka adalah mendapatkan hak istimewa sebagai administrator. Mereka menggunakan teknik credential dumping (pengambilan kredensial dari memori) dengan alat seperti Mimikatz. Selain itu, mereka menyalahgunakan akun yang sah yang telah mereka curi untuk memperluas jangkauan di dalam jaringan. - Penghindaran Pertahanan (Defense Evasion)
Ini adalah salah satu aspek paling canggih dari serangan mereka. Para pelaku menonaktifkan atau memanipulasi alat keamanan endpoint, menghapus log peristiwa Windows, dan menyamarkan file mereka agar tidak terdeteksi. Cl0p dan Qilin bahkan menggunakan teknik BYOVD (Bring Your Own Vulnerable Driver), di mana mereka memanfaatkan driver sah yang memiliki celah keamanan untuk mendapatkan akses tingkat kernel dan melewati solusi antivirus yang paling kuat. - Dampak (Impact)
Setelah menguasai jaringan, mereka mengenkripsi data korban. Untuk memaksimalkan tekanan, mereka juga mencuri data dan mempublikasikannya di situs kebocoran khusus. Qilin bahkan menimpa ruang disk kosong setelah enkripsi, membuat pemulihan data secara forensik hampir mustahil. Mereka juga menghapus cadangan sistem seperti salinan bayangan volume untuk menggagalkan upaya pemulihan.
Pemetaan TTPs dengan MITRE ATT&CK
Berikut adalah tabel yang memetakan taktik dan teknik yang digunakan oleh kelompok-kelompok ransomware teratas di tahun 2025. Tabel ini adalah ringkasan visual dari metode serangan yang sangat terstruktur.
| Taktik | Teknik | Kelompok yang Terlibat |
|---|---|---|
| Akses Awal | Memanfaatkan Aplikasi yang Menghadap Publik (T1190) | Cl0p, RansomHub, Qilin |
| Layanan Jarak Jauh Eksternal (T1133) | Cl0p, Akira, Qilin | |
| Penipuan (T1566) | Cl0p, RansomHub | |
| Akun yang Valid (T1078) | Cl0p, Akira, RansomHub | |
| Akun yang Valid: Penyalahgunaan Kredensial VPN (T1078.001) | Akira | |
| Eksekusi | Penerjemah Perintah dan Skrip (T1059) | Semua |
| PowerShell (T1059.001) | Semua | |
| Pesta (T1059.004) | Semua | |
| Eksekusi Pengguna: File Berbahaya (T1204) | Cl0p, Akira | |
| Eksekusi Dalam Memori: Injeksi DLL Reflektif (T1055.002) | Qilin | |
| Eksekusi Dalam Memori: Penghapusan Indikator dari Alat (T1620) | Qilin | |
| Kegigihan | Membuat atau Mengubah Proses Sistem: Layanan Windows (T1543) | Akira, Qilin |
| Tugas/Pekerjaan Terjadwal (T1053) | Akira, Qilin, RansomHub | |
| Perangkat Lunak Akses Jarak Jauh (T1219) | Akira, Qilin | |
| Buat Akun (T1136) | RansomHub | |
| Ubah Registri (T1112) | RansomHub | |
| Peningkatan Hak Istimewa | Pembuangan Kredensial (T1003) | Semua |
| Memori LSASS (T1003.001) | Semua | |
| Akun yang Valid (T1078) | Semua | |
| Pencurian Tiket Kerberos (T1558) | Cl0p, RansomHub | |
| Manipulasi Akun (T1098) | Cl0p, RansomHub | |
| Tiket Emas Kerberos (T1558.003) | Qilin, Akira | |
| Penemuan | Penemuan Sistem Jarak Jauh (T1018) | Semua |
| Pemindaian Layanan Jaringan (T1046) | Semua | |
| Penemuan Akun: Akun Domain (T1087.002) | Semua | |
| Gerakan Lateral | Protokol Desktop Jarak Jauh (T1021.001) | Semua |
| Berbagi Admin SMB/Windows (T1021.002) | Semua | |
| Layanan Jarak Jauh: PsExec (T1563.002) | Semua | |
| Penghindaran Pertahanan | Merusak Pertahanan (T1562) | Semua |
| Hapus Log Peristiwa Windows (T1070) | Semua | |
| File atau Informasi yang Disamarkan (T1027) | Semua | |
| Menyamar (T1036) | Semua | |
| BYOVD (T1216) | Cl0p, Qilin | |
| Pembersihan Log (T1070.004) | Akira, RansomHub | |
| Penyamaran: Peniruan Layanan (T1036.004) | Akira, RansomHub | |
| Eksfiltrasi | Arsipkan Data yang Dikumpulkan (T1560) | Semua |
| Eksfiltrasi Melalui Protokol Alternatif: SFTP (T1048.002) | Semua | |
| Dampak | Data Dienkripsi untuk Dampak (T1486) | Semua |
| Penghancuran Data: Penghapusan Konten Disk (T1485) | Qilin | |
| Menghambat Pemulihan Sistem (T1490) | Semua | |
| Situs Kebocoran Data (T1537) | Semua |
Baca juga : Intelijen Ancaman di Era AI: ISO 27001:2022 Perkenalkan Kontrol A.5.7
Tren yang Muncul untuk Diperhatikan
Selain taktik di atas, ada beberapa tren yang membuat serangan di tahun 2025 semakin sulit ditangani:
- Muatan Modular & Otomatisasi
- Ransomware kini dirancang dengan arsitektur modular, di mana afiliasi dapat dengan cepat menggabungkan berbagai komponen serangan. Hal ini memungkinkan mereka untuk menyesuaikan serangan dan mengurangi waktu yang dibutuhkan untuk mengeksekusi TTP, mengurangi jendela waktu bagi tim keamanan untuk merespons.
- Siluman Melalui LOLBins dan Biner yang Ditandatangani
Alih-alih mengunggah malware baru, pelaku kini memanfaatkan alat bawaan sistem operasi yang sah (Living Off the Land Binaries atau LOLBins) seperti PowerShell atau PsExec. Karena alat-alat ini sudah ada di dalam sistem, pergerakan mereka menjadi lebih sulit dideteksi oleh solusi keamanan tradisional. - Pemerasan Berbasis Narasi
Kelompok kriminal kini tidak hanya mengancam, tetapi juga membuat “narasi” di sekitar serangan mereka. Mereka membuat blog, merilis “siaran pers,” dan bahkan menerbitkan analisis pelanggaran yang provokatif untuk mendorong kepatuhan korban dan menciptakan kemarahan publik. - Serangan Cloud & SaaS
Pergeseran masif ke layanan cloud seperti Microsoft 365 dan Google Workspace telah menarik perhatian pelaku. Mereka kini menargetkan platform ini melalui pencurian token, MFA fatigue (membombardir korban dengan permintaan MFA hingga mereka menyetujui), dan penyalahgunaan aplikasi OAuth. - Pengembangan yang Ditingkatkan AI
Teknologi AI kini digunakan untuk membuat serangan. Kelompok seperti FunkSec menggunakan model bahasa besar untuk menghasilkan kode berbahaya dengan komentar yang sempurna. Ini memungkinkan pengembangan malware yang jauh lebih cepat dan kemampuan penghindaran yang lebih canggih. - Serangan BYOVD (Bring Your Own Vulnerable Driver)
Ini adalah teknik canggih di mana pelaku menggunakan driver sah yang memiliki celah keamanan untuk mendapatkan akses tingkat kernel. Dengan akses ini, mereka dapat menonaktifkan alat keamanan seperti EDR (Endpoint Detection and Response) dan antivirus, yang seharusnya menjadi garis pertahanan terakhir. - Peminjaman TTP Lintas-Grup
Para pelaku tidak bekerja sendiri. Mereka sering bertukar teknik, basis kode, dan infrastruktur di forum web gelap. Ini menciptakan semacam “buku panduan” bersama yang membuat taktik canggih menyebar dengan cepat di antara berbagai kelompok.
ISO 27001 sebagai Tameng Utama
Di tengah kompleksitas ancaman ini, pendekatan acak tidak akan berhasil. Di sinilah ISO 27001, standar internasional untuk sistem manajemen keamanan informasi (ISMS), memainkan peran krusial. ISO 27001 bukan sekadar sertifikasi yang dipajang di dinding; ia adalah filosofi yang membantu organisasi membangun pertahanan yang kokoh dan berkelanjutan.
Standar ini menyediakan kerangka kerja yang komprehensif, mendorong organisasi untuk:
- Melakukan Penilaian Risiko Holistik
Sebelum menerapkan kontrol, ISO 27001 mewajibkan Anda untuk mengidentifikasi dan menilai risiko keamanan informasi yang dihadapi. Ini memungkinkan Anda untuk memprioritaskan area yang paling rentan, termasuk celah pada VPN atau kurangnya segmentasi jaringan. - Menerapkan Kontrol yang Tepat
Berdasarkan penilaian risiko, Anda akan memilih dan menerapkan serangkaian kontrol dari lampiran A standar ISO 27001. Ini mencakup kontrol teknis seperti enkripsi dan patching yang agresif, hingga kontrol administratif seperti kebijakan keamanan dan pelatihan karyawan
Strategi Pertahanan Terhadap Ancaman Terkini
Bagaimana ISO 27001 bisa menjadi solusi efektif melawan ancaman ransomware berbasis AI dan taktik multi-layer?
- Mengatasi Serangan Multi-Layer
Dengan ISO 27001, organisasi didorong untuk menerapkan kontrol akses yang ketat, segmentasi jaringan, dan otentikasi multifaktor (MFA). Langkah-langkah ini sangat penting untuk mencegah pergerakan lateral yang merupakan inti dari serangan multi-layer. Standar ini juga mengharuskan pemantauan rutin untuk mendeteksi anomali pada data yang keluar dari jaringan, yang bisa menjadi indikasi eksfiltrasi data. - Menangkal Ancaman Berbasis AI
Meskipun AI digunakan untuk menyerang, ISO 27001 memastikan bahwa proses Anda siap menghadapi ancaman yang berevolusi. ISO 27001 mengharuskan tinjauan keamanan rutin dan adaptasi kontrol, sehingga Anda bisa merespons teknik serangan baru, termasuk yang dihasilkan oleh AI, dengan lebih cepat. - Meningkatkan Postur Keamanan secara Keseluruhan
ISO 27001 mencakup lebih dari sekadar teknologi. Ia juga berfokus pada pelatihan kesadaran keamanan bagi karyawan, memastikan mereka memahami risiko phishing dan teknik rekayasa sosial yang sering digunakan untuk mendapatkan akses awal. Ini adalah pertahanan pertama yang paling vital. - Menghambat Taktik BYOVD
Standar ini mewajibkan kontrol ketat terhadap perangkat lunak yang dapat diinstal. Proses manajemen perubahan dan akuisisi sistem dalam ISO 27001 akan memastikan hanya perangkat lunak yang disetujui dan diverifikasi yang dapat berjalan, sehingga dapat memblokir taktik BYOVD.
Baca juga : 8 Poin Strategi Tangkal Serangan Ransomware
️Sudah Siap Melawan Ransomware Generasi AI?
ISO 27001:2022 adalah langkah pertama Anda membangun ketahanan digital.
Hubungi tim kami untuk konsultasi gratis
Kesimpulan
Ancaman ransomware berbasis AI bukan lagi kemungkinan, melainkan realitas 2025. Mengandalkan solusi keamanan tunggal jelas tidak cukup. ISO 27001 menyediakan kerangka pertahanan yang adaptif, membantu organisasi menghadapi serangan multi-layer dengan kontrol yang relevan, mulai dari teknis hingga kesadaran SDM.
Investasi dalam ISO 27001 bukan sekadar soal kepatuhan, tetapi strategi bisnis jangka panjang—menjaga aset digital, membangun kepercayaan pelanggan, dan memastikan keberlangsungan bisnis di era digital yang penuh risiko.
FAQ
- Apa hubungan ISO 27001 dengan ransomware?
ISO 27001 memberikan kerangka kerja manajemen risiko dan kontrol teknis yang efektif untuk mencegah, mendeteksi, dan merespons serangan ransomware. - Apakah standar ini bisa melindungi dari serangan AI?
Ya, ISO 27001 mewajibkan evaluasi rutin dan pembaruan kontrol sehingga organisasi siap menghadapi ancaman baru termasuk serangan berbasis AI. - Apakah UMKM juga perlu ISO 27001?
Perlu, meskipun skalanya berbeda. UMKM bisa mengadopsi kontrol utama (MFA, backup terenkripsi, awareness training) sesuai risiko yang dihadapi. - Apa konsekuensi jika tidak menerapkan ISO 27001?
Risiko besar: kebocoran data, denda regulasi (seperti UU PDP di Indonesia), hilangnya kepercayaan pelanggan, hingga kerugian finansial besar. - Berapa lama implementasi ISO 27001?
Tergantung skala organisasi. UMKM bisa 6–9 bulan, sementara perusahaan besar dengan sistem kompleks bisa 12–18 bulan.
Leave a Reply