Playbook Respons Ransomware — Langkah Demi Langkah dari Menit Pertama

Jam 02:15 dini hari. HP lo berdering. Dari kantor.

"Pak, server kita kena ransomware. Semua file dienkripsi. Ada pesan minta Bitcoin."

Jantung lo langsung deg-degan. Ini skenario terburuk yang lo harap nggak pernah terjadi. Tapi realitanya: ransomware adalah salah satu ancaman siber paling merusak, dan Indonesia adalah salah satu target favorit.

Pertanyaannya sekarang: lo harus ngapain?

Di sinilah playbook berperan. Playbook adalah panduan langkah demi langkah yang sudah disiapkan SEBELUM insiden terjadi — jadi lo nggak perlu mikir dari nol pas lagi panik. Ibaratnya, playbook itu buku manual "what to do when everything goes wrong".

Di artikel ini, gue bakal kasih lo playbook lengkap untuk menangani serangan ransomware. Dari detik pertama lo tau ada yang nggak beres, sampai sistem kembali normal dan lo bisa tidur nyenyak lagi.

Ini bukan teori. Ini panduan praktis yang bisa lo print, tempel di dinding NOC, atau simpan di HP lo.

Sebelum Insiden: Persiapan (Preparation)

Playbook dimulai JAUH sebelum insiden terjadi. Kalau lo skip bagian ini, pas insiden terjadi lo bakal kalang kabut.

Yang Harus Udah Siap:

1. Contact list darurat — simpan di HP, bukan di server kantor (yang mungkin juga kena ransomware).

   • Incident Manager: 0812-xxxx-xxxx
   • Technical Lead: 0856-xxxx-xxxx
   • CISO/CIO: 0811-xxxx-xxxx
   • Vendor IR eksternal (kalau ada): 0877-xxxx-xxxx
   • Penyedia asuransi siber (kalau ada): 0822-xxxx-xxxx

2. Backup yang terverifikasi — jangan cuma "katanya ada backup". Cek berkala: backup bisa direstore nggak? Ransomware nggak kena backup juga kan? (Backup harus offline/immutable!)

3. Network diagram — lo harus tau persis topologi jaringan lo. Server mana di subnet mana. Jangan pas insiden baru buka Visio.

4. Asset inventory — daftar server, aplikasi, dan database. Mana yang critical? Mana yang bisa ditunda pemulihannya?

5. Tools siap pakai — forensic workstation dengan SIFT, USB bootable, hard drive kosong (untuk imaging).

6. Pre-approved authority — incident manager harus sudah dapat mandate untuk mengambil keputusan darurat (isolasi server, matikan sistem) tanpa nunggu approval panjang.

7. Template komunikasi — draft notifikasi ke pelanggan, ke regulator, dan ke media. Tinggal isi detail, langsung kirim.

Fase 1: Deteksi dan Konfirmasi (0 - 30 Menit Pertama)

Tanda-tanda Ransomware:

1. User melapor — "File saya nggak bisa dibuka, ekstensinya berubah jadi .lockbit atau .encrypted."
2. Ransom note muncul — file teks README.txt atau pop-up di layar dengan instruksi pembayaran.
3. SIEM/EDR alert — mass file rename/modification dalam waktu singkat.
4. Server lemot atau crash — proses enkripsi makan CPU.
5. Antivirus alert — deteksi ransomware (tapi jangan terlalu berharap — ransomware baru sering lolos).

Langkah 1: Jangan Panik

Serius. Ambil napas. Kepanikan bikin lo ambil keputusan buruk. Ini yang lo lakukan:

Langkah 2: Konfirmasi Insiden

• JANGAN langsung matikan server atau cabut kabel (kecuali ada alasan kuat — lihat langkah selanjutnya).
• Foto layar monitor yang menunjukkan ransom note. Ini bukti awal.
• Cek 3-5 file di lokasi berbeda — apakah benar terenkripsi?
• Catat waktu pertama kali insiden terdeteksi.

Langkah 3: Aktifkan Tim CSIRT

• Hubungi Incident Manager.
• Incident Manager mengaktifkan tim via out-of-band channel (Signal group, conference call).
• Declare incident dengan severity CRITICAL.

Langkah 4: Kumpulkan Informasi Awal

Technical lead dan tim segera mengumpulkan:

• Sistem apa aja yang terdampak? (satu server? satu subnet? seluruh domain?)
• Ada ransom note? Isinya apa? (nama grup ransomware, jumlah tebusan, cara kontak)
• Kapan enkripsi dimulai? (cek timestamp file yang dienkripsi)
• Endpoint mana yang pertama kali terinfeksi (patient zero)?

Fase 2: Kontainmen (30 Menit - 2 Jam)

Tujuan: hentikan penyebaran ransomware. Jangan sampai satu server yang kena nularin semua server lain.

Langkah 1: Isolasi Network

Prioritas: isolasi sistem yang TERDAMPAK, bukan matikan.

• Identifikasi subnet/VLAN yang terdampak.
• Di switch/firewall: blokir traffic dari/ke subnet terdampak.
• Di hypervisor (VMware/Hyper-V): disconnect virtual NIC VM yang terdampak.
• Di cloud (AWS/GCP): ubah security group, putuskan dari network.

PENTING: Kalau lo langsung matiin server, lo kehilangan kesempatan untuk:

• Memory dump (RAM) yang mungkin berisi kunci enkripsi atau malware aktif.
• Forensic image dari disk yang mungkin berisi log penting.
• Informasi tentang bagaimana ransomware menyebar.

Jadi: isolasi dulu, baru nanti akuisisi bukti, baru matikan.

Langkah 2: Disable Akun yang Terkompromi

• Reset password akun yang dicurigai sebagai entry point.
• Disable akun service yang mencurigakan.
• Force logout semua sesi yang aktif.
• Revoke semua token dan API key yang mungkin bocor.

Langkah 3: Blokir IOCs

Berdasarkan temuan awal, segera blokir:

• IP address C2 (Command & Control) di firewall.
• Domain mencurigakan di DNS.
• File hash ransomware di EDR.

Langkah 4: Preservasi Bukti

Sebelum eradikasi, kumpulkan bukti untuk investigasi:

• Memory dump dari sistem yang masih nyala.
• Forensic image dari minimal 2-3 sistem yang terdampak (termasuk patient zero kalau bisa diidentifikasi).
• Copy ransom note.
• Log dari firewall, EDR, SIEM, dan event viewer.

Ingat chain of custody! Semua bukti harus dicatat.

Langkah 5: Komunikasi Awal

Communications Lead harus:

• Brief manajemen (CISO, CIO, CEO) — situasi terkini, dampak, langkah yang diambil.
• Siapkan draft notifikasi ke regulator (kalau UU PDP mengharuskan).
• JANGAN komunikasi ke publik dulu sebelum situasi jelas.

Fase 3: Investigasi (Bersamaan dengan Kontainmen)

Sementara tim kontainmen bekerja, tim investigasi melakukan:

Patient Zero

Cari endpoint pertama yang terinfeksi:

• Cek SIEM/EDR alert — alert pertama yang muncul untuk ransomware.
• Cek timestamp file terenkripsi paling awal.
• Cek log login yang mencurigakan (RDP, SSH, VPN).

Vektor Masuk

Bagaimana ransomware masuk?

• Phishing email — cek email gateway log.
• RDP brute force — cek Windows Event Log ID 4625 (failed login).
• Exploit kerentanan — cek apakah server yang kena punya vulnerability yang belum dipatch (CVE scanning).
• Third party compromise — vendor atau partner yang punya akses ke sistem lo.

Apa yang Dilakukan Ransomware?

• Enkripsi file lokal saja atau juga network share?
• Ada data exfiltration? (double extortion ransomware). Cek network traffic untuk upload mencurigakan.
• Ada lateral movement? (dari endpoint ke server, dari server ke server).
• Ada persistence mechanism? (jadwal task, service, registry run key).

Fase 4: Eradikasi (2 - 24 Jam)

Setelah penyebaran berhenti, saatnya bersih-bersih.

Langkah 1: Jangan Langsung Pulihkan

Ini kesalahan fatal yang sering dilakukan: "Udah, server sudah diisolasi. Restore backup, selesai."

TUNGGU. Lo harus pastikan:

• Attacker nggak ninggalin backdoor.
• Kerentanan yang dipakai untuk masuk sudah ditutup.
• Akun yang terkompromi sudah dinonaktifkan.

Kalau lo restore backup sementara backdoor masih ada... attacker tinggal masuk lagi. Gratis.

Langkah 2: Bersihkan Sistem

Pilih strategi:

Opsi A: Rebuild from scratch (DIREKOMENDASIKAN)

• Format ulang server.
• Install ulang OS dari media bersih.
• Patch semua ke level terbaru.
• Restore data dari backup.

Opsi B: Clean in-place (HANYA kalau rebuild nggak feasible)

• Hapus semua file yang terinfeksi.
• Hapus persistence mechanisms.
• Reset kredensial.
• Full scan antivirus.

Untuk server critical yang terdampak parah: rebuild from scratch selalu lebih aman.

Langkah 3: Tutup Celah Masuk

Berdasarkan hasil investigasi, fix root cause:

• Kalau masuk lewat RDP → matikan RDP dari internet, pakai VPN.
• Kalau masuk lewat phishing → training ulang user, perkuat email filter.
• Kalau masuk lewat exploit → patch kerentanan.
• Kalau masuk lewat credential → enforce MFA untuk semua akses remote.

Fase 5: Pemulihan (24 - 72 Jam)

Langkah 1: Pulihkan dari Backup

• Pastikan backup bersih — scan dengan antivirus sebelum restore.
• Restore dimulai dari sistem paling critical (sesuai Business Impact Analysis).
• Verifikasi data setelah restore: lengkap? Bisa dibuka? Tidak corrupt?

Langkah 2: Monitoring Ketat

• Tingkatkan logging: semua event dicapture.
• Monitoring 24/7 untuk aktivitas mencurigakan.
• EDR dalam mode "aggressive" — deteksi anomali sekecil apa pun.
• Jangan downgrade monitoring terlalu cepat — attacker sering balik dalam 1-2 minggu.

Langkah 3: Reset Semua Kredensial

• Semua password — user, admin, service account — HARUS direset.
• Jangan cuma password yang dicurigai. Semua. Termasuk:
  • Domain admin
  • Local admin
  • Service accounts
  • API keys
  • VPN credentials
  • SSH keys

Langkah 4: Verifikasi Operasional

• Test aplikasi — berfungsi normal?
• Test integrasi — koneksi ke database OK? API ke partner OK?
• Test performa — nggak ada degradation?

Fase 6: Komunikasi Eksternal

Setelah situasi terkendali, Communications Lead melaksanakan:

Notifikasi ke Pelanggan (kalau data pribadi bocor)

Sesuai UU PDP: dalam 3×24 jam setelah insiden diketahui. Isi notifikasi:

• Apa yang terjadi (tanpa detail teknis).
• Data apa yang mungkin terdampak.
• Apa yang dilakukan organisasi.
• Apa yang harus dilakukan pelanggan (ganti password, waspadai phishing).
• Kontak untuk pertanyaan lebih lanjut.

Notifikasi ke Regulator

• BSSN (untuk instansi pemerintah).
• Kominfo (untuk Penyelenggara Sistem Elektronik).
• OJK (untuk fintech/bank).
• BPJS (kalau data kesehatan).

Pernyataan Media (opsional, tergantung skala)

• Jujur, transparan, tapi hati-hati. Jangan spekulasi.
• Fokus ke tindakan yang sudah dan akan diambil.
• Satu juru bicara — jangan semua orang ngomong.

Haruskah Membayar Tebusan?

Ini pertanyaan paling berat. Jawaban pendeknya: sangat tidak direkomendasikan.

Alasan:

1. Tidak ada jaminan. Banyak kasus di mana korban bayar tapi nggak dikasih decryptor, atau decryptor-nya rusak.
2. Mendorong kejahatan. Membayar = mendanai penjahat untuk menyerang yang lain.
3. Bisa dianggap ilegal. Kalau kelompok ransomware ada di daftar sanksi (OFAC, PBB), membayar = pelanggaran sanksi internasional.
4. Lo jadi target lagi. "Wah, yang ini mau bayar. Catet, serang lagi nanti."

Tapi... realita di lapangan kadang berbeda. Kalau:

• Backup nggak ada atau rusak.
• Dampak bisnis sangat parah (nyawa manusia terancam — misal sistem rumah sakit).
• Semua opsi sudah dijalankan.

...beberapa organisasi akhirnya memutuskan untuk negosiasi. Ini keputusan bisnis yang harus diambil oleh C-level, bukan tim teknis. Dan harus melibatkan:

• Penasihat hukum.
• Negosiator profesional (biasanya dari cybersecurity insurance atau incident response firm).
• Notifikasi ke otoritas terkait.

Checklist: Playbook Ransomware dalam Satu Halaman

Ini ringkasan yang bisa lo print:

0-30 Menit:

• Konfirmasi ransomware (foto ransom note, cek file terenkripsi)
• Aktifkan tim CSIRT via channel darurat
• Identifikasi sistem terdampak
• Catat waktu dan gejala awal

30 Menit - 2 Jam:

• Isolasi network subnet/VLAN terdampak
• Disconnect VM dari network
• Disable akun yang dicurigai
• Blokir IOCs (IP, domain, hash)
• Brief manajemen

2 - 6 Jam:

• Memory dump dari sistem yang masih nyala
• Forensic image sistem terdampak
• Kumpulkan log (firewall, EDR, SIEM)
• Cari patient zero dan vektor masuk

6 - 24 Jam:

• Siapkan environment bersih untuk rebuild
• Verifikasi backup (bersih? lengkap?)
• Tutup celah masuk

24 - 72 Jam:

• Rebuild sistem dari scratch
• Restore data dari backup
• Reset semua password
• Monitoring ketat

Setelah Stabil:

• Notifikasi ke pelanggan (kalau data bocor)
• Laporan ke regulator (3×24 jam)
• Lessons learned meeting
• Update IRP dan playbook

Penutup

Playbook ini bukan sekadar bacaan. Ini tools yang harus lo internalisasi. Print dan tempel di dekat meja lo. Simpan di HP. Share ke semua anggota tim. Karena suatu hari — entah kapan — lo bakal butuh.

Dan ingat satu hal lagi: backup adalah tameng terbaik melawan ransomware. Dengan backup 3-2-1 yang bersih, ransomware berubah dari bencana total menjadi gangguan yang bikin pusing 2-3 hari tapi bisa dipulihkan.

Kalau lo nggak punya backup yang terverifikasi... well, lo sedang main judi dengan data organisasi lo.

Di artikel berikutnya, kita bakal bahas teknik deteksi insiden — gimana caranya lo bisa tau ada serangan SEBELUM勒索ware nampilin pesan tebusan di layar. Karena deteksi dini bisa jadi pembeda antara "gangguan kecil" dan "bencana nasional".

Punya pertanyaan? Kontak gue. Butuh artikel terkait? Cek Respons Insiden.

Stay prepared, stay vigilant!

Oh iya, satu hal lagi yang sering gue tekankan ke semua tim yang gue latih: jangan cuma bikin playbook, tapi uji playbook lo. Print playbook ini, kasih ke tim, lalu jalankan tabletop exercise. Simulasikan serangan ransomware. Mulai dari "alert muncul" sampai "sistem pulih". Catat di mana tim lo bingung, di mana prosedurnya kurang jelas, di mana tools-nya kurang. Terus perbaiki playbook-nya. Playbook yang cuma dokumen doang itu sama kayak kotak P3K yang isinya kosong — ada, tapi nggak berguna pas dibutuhkan. Lakukan simulasi minimal setahun sekali. Insiden beneran bukan waktu yang tepat buat pertama kali lo baca playbook.