Ransomware modern tidak lagi sekadar 'encrypt and demand ransom'. Kelompok seperti LockBit dan ALPHV/BlackCat menggunakan model 'double extortion': mengenkripsi data sekaligus mencuri salinannya, kemudian mengancam mempublikasikannya jika tebusan tidak dibayar.

Timeline serangan tipikal: hari 1-7 (initial access melalui phishing atau exploit vulnerability), hari 7-30 (reconnaissance dan privilege escalation diam-diam), hari 30+ (deployment ransomware dan exfiltration data). Fakta yang mengkhawatirkan: rata-rata dwell time sebelum serangan dideteksi adalah 21 hari — cukup lama untuk kerusakan yang sangat signifikan.

Tidak ada single silver bullet untuk ransomware. Pertahanan yang efektif memerlukan lapisan-lapisan yang bekerja bersama. Lapisan 1 — Prevention: patching yang agresif, email security gateway, dan MFA wajib. Lapisan 2 — Detection: EDR (Endpoint Detection & Response) di semua endpoint, SIEM dengan use cases ransomware-specific. Lapisan 3 — Response: IR playbook yang telah diuji, backup yang terverifikasi dan terisolasi (3-2-1 rule), dan contact points yang jelas untuk law enforcement.

Biasanya, yang paling diabaikan adalah Lapisan 3 — terutama backup. Kami sering menemukan organisasi yang memiliki backup, namun tidak pernah menguji proses restorasi — sehingga ketika serangan terjadi, backup ternyata corrupt atau terlalu lambat untuk digunakan secara operasional.