Cyberthreat.id - Akhir Juni lalu, University of California San Fransisco (USCF) terpaksa membayar sebanyak US$ 1,14 juta (Rp16,8 miliar) setelah server penting kampus di Fakultas Kedokteran diserang menggunakan ransomware jenis NetWalker. Saat serangan itu terjadi, kampus sedang meneliti virus corona yang datanya tak bisa diakses karena dikunci dengan ransomware oleh peretas.

Keputusan untuk membayar seharga 118 Bitcoin diambil setelah proses negosiasi berhari-hari. Laporan terbaru dari Bloomberg menggambarkan bagaimana proses negosiasi itu dilakukan.

Negosiasi dimulai empat hari setelah serangan terjadi. Peretas telah mengunci setidaknya tujuh server milik kampus. Pesan awalnya, pelaku meminta tebusan US$ 3 juta (setara Rp44,3 miliar) untuk membuka kuncian.   

Pada hari Jumat, 5 Juni 2020, pukul 18.50, pelaku mengarahkan negosiator yang mewakili kampus ke halaman web di dark web, yang berarti tak terakses oleh Google. Di sana, obrolan diamankan dengan kunci digital oleh peretas. Saat obrolan itu dimulai, ada penghitung mundur yang bertulisan: 2 hari, 23 jam, 0 menit. Itu adalah batas waktu untuk pembayaran. Jika tak ada kata sepakat, harga akan berlipat ganda.

Awalnya, negosiator mencoba menyentuh hati operator ransomware dengan mengatakan pihak kampus sedang berlomba dengan waktu untuk membantu mengembangkan vaksin untuk Covid-19. Ia juga mengisyaratkan para peneliti tidak punya cadangan cadangan.

“Kami telah mengucurkan hampir semua dana untuk penelitian Covid-19 untuk membantu menyembuhkan penyakit ini,” kata negosiator yang tidak disebutkan namanya dalam obrolan online dengan pelaku serangan.

Dalam balasannya, operator ransomware mengatakan mustahil kampus tak punya uang. Apalagi, kampus mengumpulkan lebih dari US$ 7 miliar setiap tahun.

“Anda perlu memahami, bagi Anda sebagai universitas besar, harga kami sangat mahal,” kata operator.

“Anda dapat mengumpulkan uang itu dalam beberapa jam. Anda perlu menganggap kami serius. Jika kami merilis catatan atau data mahasiswa di blog kami, saya yakin 100% Anda akan kehilangan lebih dari harga yang kami minta," tambahnya.  

Saat negosiasi itu terjadi, para peretas telah membagikan sampel data dari server yang dicuri yang menunjukkan bahwa mereka memang memiliki materi sensitif.

Transkrip negosiasi itu, tulis Bloomberg, memberi gambaran langka tentang jenis serangan ransomware rahasia yang biasanya digambarkan secara tidak langsung melalui statistik FBI, pengarsipan peraturan, dan pernyataan resmi. Korban biasanya tidak suka mengaku bahwa peretas telah mengalahkan sistem keamanan mereka, juga seringkali menolak mengaku telah membayar penjahat.

Selama pandemi Covid-19, serangan ramsomware yang meminta uang tebusan marak terjadi, terutama di Rusia dan Eropa Timur. Rumah sakit, universitas, dan laboratorium menjadi target bernilai tinggi karena diyakini memiliki data penting tentang Covid-19 yang belum ditemukan obatnya.

Baru-baru ini, Departemen Kehakiman AS mengatakan bahwa peretas yang disponsori negara China menargetkan lembaga global yang melakukan penelitian virus corona untuk mencuri data terkait kandidat vaksin corona.

Pada Juli lalu, misalnya, Departemen Kehakiman AS merilis dakwaan terhadap dua peretas yang terkait dengan China karena menyerang sistem komputer yang terhubung dengan penelitian Covid-19.

Di Inggris,Pusat Keamanan Siber Nasional mendokumentasikan lonjakan serangan yang disponsori negara terhadap lembaga penelitian Inggris yang berfokus pada Covid-19, dan menghubungkan sebagian besar peningkatan serangan itu dengan Rusia, Iran, dan China.

Di California, kampus UCSF belum mengaitkan para penyerang -- yang bahasa Inggrisnya penuh dengan tata bahasa yang lazim dipakai orang Rusia -- dengan aktor negara asing mana pun.

Setelah serangan itu terjadi, pihak kampus mengatakan serangan itu tidak merusak pekerjaan terkait Covid-19, meskipun data yang hilang itu "penting untuk beberapa pekerjaan akademis yang kami keja sebagai universitas yang melayani kepentingan publik."  

Selama negosiasi, perwakilan UCSF dihadapkan pada pertanyaan: bagaimana memastikan peretas akan memenuhi janji memulihkan komputer yang terkunci setelah pembayaran. Dalam sejumlah kasus, peretas justru ingkar janji meski pembayaran telah dilakukan.

Saat sisa waktu untuk membayar tersisa 2 hari, 22 jam dan 31 menit, negosiator UCSF meminta perpanjangan waktu dua hari lagi. Alasannya, agar komite universitas yang membuat keputusan bisa bertemu dulu.

Ini sebenarnya adalah taktik mengulur waktu. Para korban serangan ransomware umumnya menggunakan taktik ini agar punya waktu lebih panjang untuk mempertimbangkan berbagai pilihan sebelum memutuskan untuk membayar atau tidak.

Tahun lalu, ketika perusahaan pembuat ventilasi udara di Kanada, Price Industries, mendapat serangan serupa, negosiatornya juga menggunakan taktik serupa. Namun, setelah memastikan banyak sistem yang bisa dipulihkan, perusahaan memilih untuk tidak membayar tebusan.

"Meskipun biaya untuk memulihkan dan memperbarui sistem keamanannya jutaan dolar lebih beasr daripada membayar tebusan, kami menolak untuk membayar para penjahat," kata Kevin Jessiman, kepala informasi di Price Industries kepada Bloomberg.

Dalam kasus UCSF, menurut seorang yang akrab dengan penyelidikan dan menolak namanya disebutkan, para penyerang telah menyalin setidaknya 20 gigabyte data.

Selama negosiasi, perwakilan universitas dengan hati-hati memuji operator ransomware.

"Saya bersedia menyelesaikan masalah ini dengan Anda, tetapi harus ada rasa saling menghormati. Apakah kamu tidak setuju? ” kata negosiator, sesuai dengan transkrip.

“Saya telah membaca tentang Anda di internet dan mengetahui bahwa Anda adalah grup peretas ransomware yang terkenal dan sangat profesional. Saya tahu Anda akan menghormati kata-kata Anda saat kami menyetujui harganya, bukan? ”

Ini sepertinya kata-kata ajaib. “Kami 100% menghormati, kami tidak akan pernah merendahkan klien yang berbicara dengan kami dengan hormat,” balas operator.

Perbincangan kemudian masuk ke soal harga yang harus dibayar. Negosiator dengan hati-hati mengatakan "saya dapat mengajukan permintaan (ke universitas) dengan jumlah maksimal  US$ 780 ribu, tetapi saya akan beruntung jika saya mendapat setengahnya."

Oleh peretas, tawaran itu dianggap penghinaan, mengingat jumlah yang diminta adalah US$ 3 juta.

Kelompok peretas kemudian mengancam akan membocorkan iinformasi tentang hilangnya data mahasiswa dan fakultas di UCSF ke Komisi Perdagangan Federal (FTC).

"Saya sarankan Anda mempertimbangkan kembali tawaran lain dan kali ini, tawaran yang serius," kata operator.

Gertakan itu dibalas oleh negosiator yang  mewakili pihak kampus.

“FTC bukan urusan kami. Kami hanya ingin membuka kunci komputer kami untuk mendapatkan kembali data kami. Saya tahu Anda ingin menghasilkan banyak uang di sini, saya mengerti, tetapi Anda perlu memahami bahwa kami tidak memiliki uang sebanyak ini, "kata negosiator.

Saat itu pukul 10:46 malam pada 9 Juni di San Francisco. Keduanya telah berbicara selama empat hari.

Setelah bertahan dengan US$ 390.000 selama  sehari, negosiator UCSF kembali dengan tawaran US$ 780.000. Namun, operator tak lagi tertarik.

“Simpan US$ 780 ribu itu untuk membeli Mc Donalds bagi semua karyawan. Jumlah yang sangat kecil bagi kami. Saya minta maaf,” kata peretas itu. “Bagaimana saya bisa menerima US$ 780.000?."

Pada titik ini, negosiasi menjadi sangat emosional, bahkan personal. “Saya harap Anda tahu bahwa ini bukan lelucon bagi saya,” jawab negosiator.

"Saya belum tidur selama beberapa hari karena saya mencoba memikirkannya untuk Anda. Saya dianggap gagal oleh semua orang di sini dan ini semua salah saya, hal ini terjadi. "

"Semakin lama ini berlangsung, semakin saya membenci diri saya sendiri dan berharap ini berakhir dengan satu atau lain cara," tambah negosiator. "Tolong Pak, apa yang bisa kita lakukan?"

Operator membalas lagi dengan mengatakan,"Teman saya, tim Anda perlu memahami bahwa ini bukanlah kegagalan Anda. Setiap perangkat di internet rentan. ”

Perwakilan UCSF menjawab,"Saya mendengar Anda dan terima kasih telah berpikir bahwa saya [bukan] orang gagal. Saya berharap orang lain di sini akan melihat hal yang sama. "

Keesokan paginya, pada 9 Juni, UCSF menawarkan lebih dari US$ 1 juta. Operator membalas dengan $ 1,5 juta. Dengan kedua belah pihak mungkin merasa bahwa kesepakatan sudah dekat, negosiator universitas memainkan satu kartu terakhir.

“Kabar baik yang ingin saya bagikan adalah bahwa seorang teman dekat kampus tahu apa yang sedang terjadi dan telah menawarkan untuk membantu dan menyumbangkan US$ 120 ribu kepada kami. Kami biasanya tidak dapat menerima donasi ini, tetapi kami bersedia hanya jika Anda setuju untuk segera mengakhiri ini. Bisakah kita mengakhiri ini sehingga kita berdua akhirnya bisa tidur nyenyak?”

Pernyataan itu mendapat respon positif dari operator yag menjawab,"Kapan Anda bisa membayar?"

Keduanya telah berbicara selama hampir enam hari. Kesepakatan akhir dicapai. Tebusan dibayar senilai US$ 1,14 juta, bukan dengan uang tunai atau transfer bank, melainkan dengan 118 Bitcoin. Pembayaran dengan Bitcoin memungkinkan pemiliknya tidak terlacak karena tidak melewati perantara perbankan.

UCSF butuh waktu satu setengah hari lagi untuk menyelesaikan kesepakatan dan membeli Bitcoin.

Sebaliknya, penyerang membutuhkan waktu hampir dua hari untuk mendekripsi file, mengirimkan, dan menunjukkan bahwa mereka telah menghapus salinan filenya. Pelaku berjanji akan mengirimkan file pada pukul 2:48 dinihari pada 14 Juni.

Setelah kesepakatan selesai, operator ransomware mengajukan sedikit pertanyaan untuk menjawab rasa penasarannya tentang lawan bicaranya selama enam hari itu.

"Anda dari perusahaan keamanan mana?"

Negosiator tidak menjawab.[]