Source: Midjourney

Ransomware menjadi salah satu ancaman siber paling berbahaya bagi perusahaan di seluruh dunia. Ketika sistem dan data penting berhasil dienkripsi oleh pelaku, banyak organisasi merasa tidak memiliki pilihan lain selain membayar tebusan agar dapat kembali beroperasi. Namun, keputusan ini sebenarnya mengandung konsekuensi yang jauh lebih besar daripada sekadar kehilangan uang. Dalam beberapa tahun terakhir, serangan ransomware meningkat pesat dan memengaruhi berbagai sektor industri. Ketika menghadapi tekanan operasional dan kerugian bisnis, membayar tebusan sering dianggap sebagai jalan pintas untuk pemulihan. Sayangnya, langkah ini justru dapat memicu risiko baru yang lebih kompleks dan merugikan.

Membayar tebusan kepada pelaku ransomware mungkin terlihat sebagai solusi yang cepat dan praktis, terutama saat data penting perusahaan terkunci dan aktivitas bisnis terhenti. Namun, tindakan tersebut tidak hanya gagal menjamin pemulihan data, tetapi juga dapat menimbulkan dampak jangka panjang terhadap keamanan, regulasi, dan reputasi perusahaan. Bayangkan seluruh sistem perusahaan tiba-tiba tidak bisa diakses. Data pelanggan hilang, operasional berhenti total, dan ancaman bocornya informasi sensitif menghantui. Dalam situasi mendesak seperti ini, penawaran para pelaku ransomware untuk mengembalikan data setelah tebusan dibayar tampak seperti satu-satunya jalan keluar. Namun kenyataannya, keputusan tersebut dapat menjadi awal dari masalah yang lebih besar.

Menurut laporan Sophos (2022), 66% organisasi di seluruh dunia mengalami serangan ransomware, dan sebagian besar memilih membayar tebusan agar dapat pulih lebih cepat. Ironisnya, banyak dari mereka tetap tidak mendapatkan kembali data secara utuh. Fakta ini menunjukkan bahwa membayar bukan merupakan solusi yang efektif dan aman.

Terdapat beberapa stuasi apabila perusahaan membayar tebusan kepada penyerang ransomware yang mungkin terlihat sebagai solusi cepat untuk memulihkan data yang terenkripsi, namun tentunya tindakan ini membawa berbagai risiko serius bagi perusahaan akan berbagai kemungkinan yang terjadi:

  1. Tidak Ada Jaminan Data Akan Dikembalikan

Apabila perusahaan membayar tebusan sesuai permintaan penyerang tentunya tidak akan ada jaminan bahwa data akan benar-benar dikembalikan. Nyatanya dalam banyak kasus, pelaku ransomware tidak memberikan kunci dekripsi setelah menerima pembayaran sehingga perusahaan tetap mengalami kehilangan data sekaligus kehilangan uang. Berdasarkan laporan Sophos pada tahun 2021, 66% organisasi yang membayar tebusan tidak mendapatkan kembali semua data mereka, dan hanya 26% yang berhasil memulihkan setengah dari data yang terenkripsi sisanya berisi data corrupt yang tidak berhasil di enkripsi. Selain itu, meskipun kunci diberikan nyatanya tidak ada kepastian bahwa dekripsi dari data akan berjalan sempurna. Banyak perusahaan yang mengalami data corrupt atau kehilangan sebagian informasi penting meskipun mereka membayar tebusan. Lebih buruk lagi, beberapa varian ransomware memiliki bug atau kesalahan dalam algoritma enkripsinya, yang membuat pemulihan data mustahil bahkan jika tebusan telah dibayar. Sebuah studi oleh CyberEdge Group menemukan bahwa lebih dari 47% organisasi yang membayar tebusan tidak mendapatkan kembali semua data mereka, yang membuktikan bahwa membayar bukanlah solusi yang dapat diandalkan.

  1. Meningkatkan Risiko Serangan Berulang (Double Extortion & Repeat Attacks)

Selain membayar tebusan tidak menjamin pemulihan data namun juga juga meningkatkan kemungkinan serangan berulang. Perusahaan yang bersedia membayar tebusan akan dianggap sebagai target yang lebih menarik oleh penjahat siber, karena mereka tahu bahwa perusahaan memiliki dana dan cenderung menuruti permintaan mereka. Selain itu, banyak kelompok ransomware menerapkan strategi double extortion, yaitu selain mengenkripsi data mereka juga mengancam akan membocorkan atau menjual data perusahaan meskipun pembayaran telah dilakukan. Bahkan, ada kasus di mana kelompok ransomware menjual daftar korban yang telah membayar kepada kelompok lain, yang kemudian meluncurkan serangan baru. Contoh nyata adalah serangan terhadap Colonial Pipeline pada tahun 2021, di mana perusahaan membayar 4,4 juta dolar kepada peretas namun tetap mengalami gangguan operasional besar dan menarik perhatian penjahat lain yang melihatnya sebagai target potensial.

  1. Memberikan Modal kepada Haker

Secara tidak langsung ketika perusahaan membayar biaya tebusan maka ini akan membantu pendanaan kelompok ransomware yang sering kali memiliki hubungan dengan kejahatan terorganisir internasional, terorisme, atau perdagangan manusia. Uang yang diterima dari pembayaran tebusan digunakan untuk memperkuat infrastruktur kriminal mereka, termasuk mengembangkan ransomware yang lebih canggih dan meningkatkan kapasitas serangan. Semakin banyak perusahaan yang memilih untuk membayar, semakin besar pula insentif bagi para peretas untuk melanjutkan operasi mereka, sehingga serangan ransomware akan semakin sering terjadi di masa depan. Contohnya, kelompok ransomware seperti Conti dan REvil diketahui memiliki keterkaitan dengan organisasi kriminal dan bahkan pemerintah tertentu, yang menggunakan dana tebusan untuk mendukung berbagai aktivitas ilegal.

  1. Perusahaan dapat terkena Sanksi Hukum

Ini Membayar tebusan bukan hanya keputusan bisnis yang berisiko, tetapi juga dapat menimbulkan konsekuensi hukum yang serius. Di beberapa negara, membayar tebusan kepada kelompok siber yang masuk dalam daftar sanksi pemerintah dapat dianggap sebagai tindakan ilegal. Misalnya, otoritas seperti US Treasury’s Office of Foreign Assets Control (OFAC) telah memperingatkan bahwa pembayaran ransomware kepada kelompok yang dikenai sanksi bisa melanggar hukum federal dan dapat menyebabkan denda besar. Selain itu, membayar tebusan tanpa memberi tahu otoritas terkait juga dapat melanggar regulasi perlindungan data, seperti GDPR di Eropa, PDP di Indonesia, dan CCPA di California. Jika data pelanggan dicuri dalam serangan tersebut dan perusahaan tidak segera melaporkannya ke regulator, maka mereka dapat dikenakan sanksi tambahan. Contohnya, pada tahun 2020, Garmin hampir terkena sanksi karena diduga membayar tebusan kepada kelompok Evil Corp, yang telah masuk dalam daftar hitam pemerintah AS.

  1. Reputasi Perusahaan Bisa Hancur

Selain kerugian finansial dan hukum, membayar tebusan juga dapat merusak reputasi perusahaan dalam jangka panjang. Jika pelanggan dan investor mengetahui bahwa perusahaan memilih untuk membayar tebusan, mereka mungkin kehilangan kepercayaan terhadap kemampuan perusahaan dalam melindungi data dan sistem mereka. Keputusan untuk membayar juga dapat menjadi perhatian media dan regulator, yang dapat memperburuk citra perusahaan dan menyebabkan penurunan loyalitas pelanggan. Dalam beberapa kasus, nilai saham perusahaan bisa turun, dan investor mungkin menarik dana mereka karena khawatir dengan keamanan jangka panjang perusahaan. Sebagai contoh, Norsk Hydro (2019) memilih tidak membayar tebusan dan berhasil memulihkan sistemnya sendiri, yang akhirnya meningkatkan reputasi mereka sebagai perusahaan yang kuat dalam menangani serangan siber. Pendekatan transparan dan tegas ini tidak hanya memungkinkan Norsk Hydro memulihkan operasionalnya tanpa membayar tebusan, tetapi juga meningkatkan reputasi perusahaan sebagai entitas yang tangguh dalam menghadapi serangan siber. Sebaliknya, perusahaan seperti Travelex yang memilih untuk membayar tebusan sebesar $2,3 juta dalam bentuk Bitcoin kepada para peretas untuk memulihkan akses ke data mereka. Namun, dampak finansial dari serangan tersebut, diperburuk oleh penurunan perjalanan global akibat pandemi COVID-19, menyebabkan perusahaan mengalami krisis keuangan yang serius. Pada Agustus 2020, Travelex terpaksa mengajukan administrasi (setara dengan kebangkrutan) di Inggris, yang mengakibatkan lebih dari 1.000 karyawan kehilangan pekerjaannya. Sehingga pilihan untuk membayar kan tebusan ini bukan menjadi Solusi yang cukup bijak untuk ditempuh.

Kesimpulan

Membayar tebusan dalam serangan ransomware bukanlah solusi yang aman karena tidak menjamin pemulihan data dan justru sering kali tetap menyebabkan kerugian besar bagi perusahaan. Selain meningkatkan risiko serangan berulang dan memperkuat pendanaan kelompok kriminal siber, tindakan tersebut juga dapat menimbulkan konsekuensi hukum serta merusak reputasi perusahaan secara jangka panjang. Oleh karena itu, perusahaan perlu mengutamakan langkah pencegahan, respons insiden yang kuat, serta pemulihan data yang mandiri tanpa membayar tebusan kepada pelaku kejahatan siber.

Penulis: 

Samson Ndruru, S.Kom., M.Kom. (FDP Scholar)

Daftar Pustaka:

  1. CyberEdge Group. (n.d.). Cyberthreat defense report. CyberEdge Group. https://cyberedgegroup.com/cdr
  2. (n.d.). Ransomware. IBM. https://www.ibm.com/id-id/topics/ransomware
  3. (n.d.). Hackers hit Norsk Hydro with ransomware – the company responded with transparency. Microsoft News. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/
  4. Security Magazine. (2020, August 10). Ransomware victim Travelex forced into bankruptcy. Security Magazine. https://www.securitymagazine.com/articles/93062-ransomware-vicitim-travelex-forced-into-bankruptcy
  5. (2021, April 27). The state of ransomware 2021. Sophos News. https://news.sophos.com/en-us/2021/04/27/the-state-of-ransomware-2021/
  6. (2022, April). Ransomware hit 66% of organizations surveyed for Sophos annual State of Ransomware 2022. Sophos. https://www.sophos.com/en-us/press/press-releases/2022/04/ransomware-hit-66-percent-of-organizations-surveyed-for-sophos-annual-state-of-ransomware-2022
  7. The Guardian. (2021, May 19). Colonial Pipeline cyber-attack: Ransom paid to hackers. https://www.theguardian.com/technology/2021/may/19/colonial-pipeline-cyber-attack-ransom