Email attacks berhasil menggeser exploit sebagai penyebab utama ransomware tahun lalu menurut laporan Sophos State of Ransomware 2026 yang dirilis minggu ini. Multifactor authentication (MFA) diterapkan dalam 97% serangan berbasis kredensial namun gagal mencegah kompromi — sebuah temuan yang mengubah perspektif tentang bagaimana organisasi harus mempertahankan diri dari ransomware.
APA YANG TERJADI?
Sophos menerbitkan laporan State of Ransomware 2026 berdasarkan survei terhadap 2.158 pemimpin IT dan keamanan siber di 17 negara yang bekerja di organisasi yang terkena ransomware selama tahun terakhir. Temuan utama menunjukkan bahwa malicious email (26%) dan phishing (24%) berhasil menggeser tiga tahun dominasi vulnerabilities (18%, turun dari 32%) sebagai penyebab utama serangan ransomware. Dua pertiga (67%) korban juga menyatakan bahwa serangan ransomware yang mereka alami merupakan serangan identitas paling signifikan dalam setahun terakhir.
“Karena phishing dan malicious email sekarang menyumbang separuh dari seluruh penyebab ransomware dalam laporan ini, organisasi harus menerapkan email filtering canggih, mengimplementasikan protokol DMARC/DKIM/SPF, dan berinvestasi dalam pelatihan kesadaran phishing secara rutin,” tulis Sophos. “Pergeseran ke email-based attack menunjukkan bahwa patching teknis kerentanan saja tidak mencukupi.” Penyebab ketiga paling umum juga terkait identitas — compromised credentials digunakan dalam 23% kasus.
DETAIL TEKNIS
Temuan paling mengejutkan dalam laporan ini adalah kegagalan MFA pada skala yang belum pernah terjadi sebelumnya. MFA diterapkan dalam 97% kasus di mana compromised credentials menjadi penyebab ransomware. Metode autentikasi sekunder yang paling umum digunakan adalah one-time passwords, push-based applications, dan passkeys. FIDO2 tokens — yang dianggap gold standard untuk phishing-resistant authentication — hanya menempati urutan keempat sebagai metode yang paling umum diterapkan.
Sophos menawarkan dua kemungkinan penjelasan mengapa MFA gagal: pertama, MFA mungkin tidak diterapkan secara penuh di semua sistem yang relevan, menciptakan celah yang dapat dimanfaatkan penyerang. Kedua, meskipun MFA tetap menjadi elemen penting dalam strategi pertahanan siber yang efektif, MFA tidak cukup sendirian untuk mencegah credential-based attacks karena teknik bypass terus berkembang. Chet Wisniewski, CISO global di Sophos, menekankan pentingnya “aggressive defense-in-depth” — setiap lapisan pertahanan, meskipun dapat dibypass, merupakan speed bump, alert, atau petunjuk potensial untuk memicu threat hunt. Ini termasuk segmentasi untuk memperlambat penyerang, deployment ZTNA untuk menggantikan VPN legacy, dan kemampuan threat detection serta response 24/7.
DAMPAK TERHADAP INDONESIA
Indonesia mengalami peningkatan serangan ransomware yang signifikan dalam beberapa tahun terakhir, dengan kasus-kasus besar seperti serangan terhadap BPJS Kesehatan, RSUD dr. Soetomo, dan berbagai instansi pemerintah daerah. Temuan Sophos bahwa email-based attacks kini menjadi vektor utama ransomware sangat relevan karena banyak organisasi Indonesia masih memiliki kebijakan keamanan email yang lemah. Phishing tetap menjadi vektor serangan nomor satu di Indonesia menurut data BSSN, dengan ribuan laporan insiden siber per bulan.
Kegagalan MFA pada 97% kasus merupakan temuan yang sangat kritis untuk konteks Indonesia. Banyak organisasi Indonesia telah menerapkan MFA sebagai respons terhadap regulasi SKKNI Siber dan pedoman BSSN, namun menerapkannya secara parsial — misalnya hanya pada VPN atau email, tetapi tidak pada sistem ERP, database, atau aplikasi internal lainnya. Celah inilah yang dimanfaatkan oleh penyerang. Selain itu, banyak MFA yang diterapkan di Indonesia menggunakan metode yang rentan terhadap MFA fatigue attacks atau push-based MFA yang dapat dibypass. OJK, BI, dan Kementerian Kominfo perlu memperbarui pedoman keamanan siber mereka untuk mencerminkan tren baru ini — bukan hanya mewajibkan MFA, tetapi juga memastikan bahwa MFA diterapkan secara menyeluruh dan menggunakan metode yang resilien terhadap teknik bypass terkini.
REKOMENDASI MITIGASI
Prioritaskan email filtering canggih dengan kemampuan sandboxing untuk mendeteksi phishing dan malicious email. Implementasikan protokol DMARC, DKIM, dan SPF pada semua domain email organisasi. Investasikan dalam pelatihan kesadaran phishing secara rutin — minimal quarterly dengan simulasi phishing. Pastikan MFA diterapkan pada SELURUH sistem yang mendukungnya, bukan hanya pada titik akses utama. Gunakan metode MFA yang lebih kuat seperti FIDO2 tokens atau passkeys daripada SMS OTP. Audit secara berkala kredensial dan hak akses di seluruh sistem. Implementasikan Identity Threat Detection and Response (ITDR). Terapkan Zero Trust Architecture dengan segmentasi jaringan untuk memperlambat lateral movement jika terjadi kompromi.
Analisa Retasan
Laporan Sophos State of Ransomware 2026 menandai pergeseran paradigma dalam memahami bagaimana ransomware berhasil masuk ke organisasi. Pergeseran dari vulnerability exploitation ke identity compromise sebagai vektor utama bukan berarti patch management menjadi tidak penting — melainkan menunjukkan bahwa attacker telah menyesuaikan strategi mereka. Dengan semakin baiknya posture patching di banyak organisasi (terutama setelah wave Patch Tuesday yang agresif dari Microsoft), penyerang beralih ke jalur yang lebih mudah: menipu manusia melalui phishing dan memanfaatkan credential yang bocor. Ini konsisten dengan tren yang diamati oleh Verizon DBIR selama bertahun-tahun — humans remain the weakest link.
Fakta bahwa MFA gagal di 97% kasus credential-based ransomware merupakan temuan yang harus menjadi wake-up call bagi seluruh industri keamanan siber. MFA bukan silver bullet — dan organisasi yang mengandalkan MFA sebagai satu-satunya pertahanan terhadap credential theft sedang menipu diri sendiri. Dua penjelasan Sophos sangat relevan: pertama, gap dalam deployment MFA (tidak diterapkan di semua sistem) merupakan masalah operational yang sangat umum, terutama di organisasi dengan warisan sistem IT yang kompleks. Kedua, evolusi teknik bypass MFA — termasuk MFA fatigue, SIM swapping, adversary-in-the-middle phishing, dan real-time phishing proxies — menunjukkan bahwa arms race antara attacker dan defender terus berlanjut. Rekomendasi Wisniewski tentang aggressive defense-in-depth adalah pendekatan yang tepat: tidak ada satu lapisan pertahanan yang sempurna, tetapi kombinasi banyak lapisan dapat memberikan kedalaman pertahanan yang memadai.
Konteks Indonesia sangat relevan karena banyak organisasi di negara ini baru mulai mengimplementasikan MFA dalam 2-3 tahun terakhir, sering kali sebagai respons terhadap regulasi atau audit. Gap antara “MFA deployed” dan “MFA fully deployed across all relevant systems” sangat nyata di Indonesia, di mana banyak organisasi memiliki campuran sistem modern dan legacy. BSSN, OJK, dan Kementerian Kominfo perlu memperbarui pedoman keamanan siber mereka untuk tidak hanya mewajibkan MFA, tetapi juga memastikan bahwa MFA mencakup semua sistem kritis, menggunakan metode yang resilien terhadap bypass, dan dilengkapi dengan monitoring untuk mendeteksi anomali autentikasi. Investasi dalam ITDR (Identity Threat Detection and Response) harus menjadi prioritas bagi SOC Indonesia, mengingat bahwa identity attack kini menjadi vektor utama ransomware.
Sumber: Dark Reading — Identity Attacks Overtake Exploits as Top Ransomware Cause