SUBANG, TINTAHIJAU.com – Serangan ransomware dapat memberikan dampak yang menghancurkan bagi bisnis, bahkan menyebabkan beberapa organisasi tidak pernah bisa pulih sepenuhnya. Dalam situasi yang sangat mendesak, perusahaan sering kali memanggil negosiator ransomware untuk mengulur waktu atau, jika tidak ada pilihan lain, menurunkan besaran tebusan yang diminta.
Jeff Wichman, mantan negosiator ransomware profesional, saat ini menjabat sebagai direktur tanggap insiden di perusahaan keamanan Semperis. Dalam wawancaranya, Wichman menceritakan pengalamannya berada di garis depan perang siber dan memberikan saran tentang cara menghadapi penyerang ransomware.
Awal Karir Sebagai Negosiator Ransomware
Wichman memulai karirnya sebagai negosiator ransomware secara tidak sengaja ketika bekerja di bidang forensik digital di Crypsis, sebuah perusahaan yang kemudian diakuisisi oleh Palo Alto Networks. Suatu hari, seorang direktur meminta bantuan untuk menangani negosiasi tebusan, dan Wichman setuju karena merasa tertarik. “Saat itu, negosiasi masih lebih mudah dan saya langsung tertarik. Akhirnya, saya memimpin tim negosiasi kelompok ransomware,” ujarnya.
Proses Negosiasi: Dari Awal Hingga Akhir
Dalam sebuah serangan ransomware, negosiasi biasanya dimulai dengan ditemukannya catatan tebusan yang ditinggalkan oleh penyerang. Catatan tersebut memberikan instruksi untuk komunikasi lebih lanjut, biasanya melalui platform obrolan di Tor, peramban terenkripsi yang melindungi privasi pengguna. “Kadang kami harus menggunakan email untuk menghubungi mereka,” jelas Wichman.
Wichman mengungkapkan bahwa sangat penting untuk tidak mengungkapkan bahwa mereka adalah negosiator yang mewakili klien, karena hal itu justru membuat penyerang semakin sulit diajak bernegosiasi. Sebagai negosiator, Wichman harus cermat dalam memberikan informasi kepada tim tanggap insiden untuk membantu pemulihan sistem secara lebih efektif.
Strategi dan Tujuan Negosiasi
Negosiasi ransomware mengikuti proses tertentu yang bertujuan untuk mengetahui data apa saja yang telah dicuri dan tuntutan dari penyerang. Setelah kontak awal, negosiator biasanya meminta bukti pencurian data dan daftar file yang diambil oleh penyerang. “Kami memilih file tertentu untuk memastikan apakah data benar-benar telah dicuri,” kata Wichman. Hal ini membantu tim penyelidik dalam memprioritaskan sistem yang perlu diperbaiki terlebih dahulu.
Selain itu, negosiator sering meminta bukti dekripsi dengan mengirim file terenkripsi dan meminta penyerang untuk mendekripsinya. Langkah ini dilakukan untuk mengetahui apakah penyerang benar-benar memiliki kemampuan untuk mengembalikan data.
Menurunkan Jumlah Tebusan
Menurut Wichman, salah satu tujuan utama dari negosiasi adalah untuk menurunkan jumlah tebusan yang diminta atau mengulur waktu sehingga bisnis dapat mencoba memulihkan sistem secara mandiri. “Kadang klien memutuskan untuk tidak membayar, tapi kami tetap harus berpura-pura siap membayar agar investigasi bisa berlangsung lebih cepat,” jelasnya.
Ia juga menekankan pentingnya berkomunikasi dengan penyerang secara efektif, menjaga agar tidak ada pernyataan yang memicu kemarahan penyerang, karena hal ini dapat memperburuk situasi dan meningkatkan risiko serangan berulang.
Tantangan dalam Negosiasi
Wichman mengungkapkan bahwa tantangan terbesar dalam negosiasi sering kali datang dari pihak internal, termasuk tim hukum dan asuransi yang ikut terlibat dalam setiap langkah komunikasi dengan penyerang. “Kami harus mendapatkan persetujuan dari klien, tim hukum, dan perusahaan asuransi sebelum berbicara dengan penyerang. Hal ini sering kali memperlambat proses dan membuat situasi semakin sulit,” ungkapnya.
Selain itu, keterlibatan langsung klien dalam percakapan dengan penyerang juga dapat mengacaukan negosiasi. “Jika penyerang mengetahui bahwa klien sangat ingin segera memulihkan sistem, mereka tidak akan mudah diajak bernegosiasi,” tambahnya.
Risiko dan Tekanan Psikologis
Selama menjalani karirnya sebagai negosiator ransomware, Wichman mengaku sering mengalami tekanan besar, terutama ketika permintaan tebusan mulai meningkat hingga jutaan dolar. “Awalnya, tuntutan tebusan sekitar $150.000, tapi kemudian meningkat menjadi jutaan dolar. Saya mulai kehilangan tidur karena khawatir akan konsekuensinya,” ujar Wichman.
Ia menceritakan pengalamannya bekerja 16 jam sehari selama berbulan-bulan, menangani beberapa kasus ransomware sekaligus, yang akhirnya mempengaruhi kesehatan mentalnya. “Mundur dari pekerjaan ini adalah keputusan terbaik yang pernah saya buat. Meski kadang rindu dengan tantangan dan kegembiraannya, dari segi kesehatan mental, saya tidak akan kembali,” ujarnya.
Masa Depan Ransomware
Wichman memprediksi bahwa metode yang digunakan oleh kelompok ransomware akan terus berkembang. “Jika Anda tidak merespons komunikasi mereka, tidak ada yang bisa menghentikan mereka mencetak data dan mengirimkannya kepada korban atau bahkan kepada media untuk membuktikan pencurian data,” jelasnya. Menurutnya, kelompok ransomware akan selalu mencari cara baru untuk meningkatkan tekanan terhadap korban.
Pengalaman Jeff Wichman sebagai negosiator ransomware menunjukkan betapa kompleksnya proses negosiasi dan tantangan yang dihadapi dalam menghadapi serangan siber. Organisasi perlu lebih siap dan memperkuat sistem keamanan mereka untuk mengurangi risiko serangan ransomware di masa mendatang. Lebih dari sekadar merespons serangan, membangun ketahanan dan persiapan adalah kunci untuk menghadapi ancaman siber yang terus berkembang.
Sumber: Racounter
