Pelaku Ransomware Berburu Cadangan Data dan EDR Cloud
Ancaman ransomware memasuki fase yang lebih agresif pada pertengahan 2026. Jika pada gelombang sebelumnya pelaku fokus mengunci server produksi dan mencuri dokumen sensitif, tren terbaru justru bergerak ke sasaran yang lebih strategis: sistem cadangan data, konsol manajemen keamanan endpoint berbasis cloud, serta identitas administrator yang mengendalikan pemulihan insiden. Pergeseran ini menjadi perhatian besar komunitas keamanan siber global karena memukul langsung lapisan pertahanan terakhir organisasi.
Sejumlah laporan insiden, peringatan vendor keamanan, dan analisis respons insiden yang ramai dibahas sepanjang Juni hingga awal Juli 2026 menunjukkan pola yang semakin konsisten. Pelaku tidak lagi hanya mengejar enkripsi cepat, melainkan berupaya melumpuhkan kemampuan korban untuk pulih. Dalam praktiknya, akun dengan hak istimewa tinggi diburu lebih dulu, token akses ke layanan cloud dicuri, perlindungan endpoint dinonaktifkan, lalu cadangan data lokal maupun cloud dihapus atau diubah kebijakan retensinya sebelum proses pemerasan diumumkan.
Pola baru itu membuat banyak tim TI dan keamanan meninjau ulang asumsi lama. Cadangan data yang selama ini dianggap garis pertahanan utama ternyata kini ikut menjadi target tahap awal. Begitu pula platform EDR, XDR, MDM, dan konsol identitas yang terhubung ke banyak perangkat sekaligus. Saat akses ke sistem-sistem tersebut jatuh ke tangan penyerang, dampaknya tidak lagi terbatas pada satu server, melainkan dapat menjalar ke ratusan hingga ribuan endpoint dalam waktu singkat.
Kenapa Cadangan Data Kini Jadi Sasaran Utama
Serangan ransomware modern semakin memahami bahwa peluang pembayaran tebusan meningkat tajam ketika korban kehilangan jalur pemulihan. Karena itu, pelaku berusaha memastikan backup tidak bisa dipakai, rusak, atau setidaknya lambat diakses. Teknik yang paling sering disorot dalam tren terbaru mencakup penghapusan snapshot, perubahan kredensial akun layanan backup, penonaktifan immutable storage jika konfigurasi lemah, serta penghapusan server katalog atau repositori metadata yang dibutuhkan untuk proses restore.
Di lingkungan hibrida, risiko bertambah karena banyak organisasi mengelola backup on-premises dan cloud dari satu panel administrasi. Kemudahan operasional ini memang meningkatkan efisiensi, tetapi bila akun admin pusat berhasil diretas, satu tindakan dari penyerang dapat berdampak ke banyak lokasi sekaligus. Dalam sejumlah evaluasi pascainsiden yang dibicarakan pelaku industri tahun ini, organisasi yang selamat bukan hanya yang memiliki backup, tetapi yang menerapkan pemisahan identitas admin, segmentasi jaringan, serta kebijakan pemulihan yang diuji berkala.
Backup yang aman pada 2026 bukan lagi sekadar salinan tambahan. Praktik terbaik kini mengarah pada kombinasi salinan offline atau logical air-gap, immutable backup dengan retensi yang tidak mudah diubah, serta akun administrasi terpisah yang tidak dipakai untuk aktivitas harian. Banyak organisasi juga mulai menerapkan approval berlapis untuk penghapusan salinan cadangan dan aktivasi pemulihan skala besar.
EDR Cloud dan Konsol Keamanan Jadi Pintu Kendali Baru
Selain backup, pelaku ransomware juga makin tertarik pada platform pertahanan itu sendiri. Endpoint Detection and Response berbasis cloud, platform manajemen perangkat, alat remote monitoring, hingga panel identity provider menjadi sasaran bernilai tinggi. Alasannya sederhana: satu konsol dapat mengendalikan banyak perangkat, kebijakan, dan akses. Jika pelaku berhasil mendapatkan token sesi, kredensial admin, atau memanfaatkan konfigurasi yang terlalu permisif, langkah berikutnya bisa sangat merusak.
Dari berbagai pola serangan yang dibahas luas komunitas keamanan, pelaku kerap memulai dari pencurian kredensial melalui phishing bertarget, malware infostealer, atau eksploitasi aplikasi yang terekspos internet. Setelah memperoleh akses, penyerang melakukan reconnaissance internal, memetakan perangkat, mengidentifikasi solusi keamanan yang digunakan, lalu mencari cara menonaktifkan sensor atau mengecualikan direktori tertentu dari pemindaian. Pada tahap ini, keberhasilan serangan sangat ditentukan oleh lemahnya tata kelola identitas dan minimnya proteksi terhadap akun admin.
Vendor keamanan global sepanjang beberapa pekan terakhir juga terus menekankan pentingnya pengamanan API token, session cookie, dan akun layanan non-manusia. Dalam banyak kasus, bukan kata sandi biasa yang dicuri, melainkan kredensial mesin-ke-mesin yang luput diawasi. Karena akun jenis ini sering memiliki izin luas dan jarang diganti, dampaknya sangat besar ketika bocor.
Tren “Identity-First Ransomware” Makin Menonjol
Salah satu istilah yang semakin sering muncul pada pertengahan 2026 adalah pendekatan identity-first ransomware. Intinya, titik awal serangan tidak selalu lagi perangkat pengguna, melainkan identitas digital yang membuka akses ke berbagai sistem penting. Dengan identitas istimewa, pelaku dapat bergerak lebih sunyi, memanipulasi kebijakan keamanan, dan menunda deteksi lebih lama.
Tren ini selaras dengan peningkatan serangan terhadap MFA fatigue, pencurian token dari browser dan endpoint, penyalahgunaan akun federasi, serta eskalasi hak akses melalui miskonfigurasi role di cloud. Organisasi yang masih mengandalkan kata sandi statis tanpa pemeriksaan konteks akses menghadapi risiko yang jauh lebih tinggi. Verifikasi adaptif, conditional access, pembatasan lokasi login, serta pemisahan ketat antara akun harian dan akun administratif kini menjadi kebutuhan mendesak, bukan lagi opsi tambahan.
Para peneliti keamanan juga menyoroti bahwa kelompok ransomware semakin mahir mengeksploitasi celah operasional, bukan hanya celah perangkat lunak. Misalnya, akun administrator darurat yang dibiarkan aktif permanen, kredensial lama milik vendor pihak ketiga yang belum dicabut, atau integrasi backup yang memakai kunci API dengan izin terlalu luas. Detail seperti ini kerap terlewat dalam audit rutin, padahal justru menjadi jalur favorit penyerang.
Tekanan Regulasi dan Respons Korporasi Meningkat
Di banyak kawasan, gelombang insiden baru mendorong regulator dan otoritas siber memperkeras tuntutan pelaporan, pengamanan rantai pasok, dan ketahanan pemulihan. Fokus tidak lagi semata pada pencegahan intrusi, tetapi juga pada kesiapan operasional saat intrusi berhasil terjadi. Perusahaan besar mulai dituntut membuktikan bahwa pemulihan layanan kritikal dapat berjalan tanpa bergantung pada keputusan membayar tebusan.
Tren ini mendorong perubahan pada agenda rapat direksi dan komite audit. Jika sebelumnya diskusi ransomware berputar pada perlindungan perimeter dan kesadaran karyawan, maka kini topiknya bergeser ke post-compromise resilience: seberapa cepat identitas dapat diisolasi, seberapa mandiri cadangan data dari domain utama, seberapa aman panel cloud, dan berapa lama sistem inti bisa dipulihkan dalam skenario terburuk.
Dampak bisnisnya juga semakin nyata. Premi asuransi siber di sejumlah pasar makin memperhitungkan kedewasaan backup immutable, penggunaan MFA yang tahan phishing, serta keberadaan drill pemulihan berkala. Organisasi yang belum mampu menunjukkan kontrol-kontrol tersebut berpotensi menghadapi syarat polis yang lebih berat.
Teknik Serangan yang Paling Sering Diamati pada 2026
Berdasarkan pola insiden yang banyak dibahas industri sepanjang tahun ini, terdapat beberapa teknik yang menonjol dalam eksekusi ransomware modern. Teknik-teknik ini tidak selalu baru, tetapi intensitas dan kombinasinya menunjukkan evolusi yang signifikan.
- Pencurian kredensial admin melalui phishing bertarget dan infostealer.
- Pengambilalihan akun cloud untuk memanipulasi kebijakan backup dan retensi snapshot.
- Penyalahgunaan alat manajemen jarak jauh dan konsol administrasi pusat.
- Penonaktifan atau pelemahan EDR/XDR melalui perubahan kebijakan, uninstall, atau tampering.
- Eksploitasi VPN, perangkat edge, dan aplikasi internet-facing yang terlambat ditambal.
- Gerak lateral cepat menggunakan akun layanan, token API, dan akses federasi.
- Eksfiltrasi data sebelum enkripsi untuk menambah tekanan pemerasan.
- Serangan ke hypervisor, storage management, dan infrastruktur virtualisasi.
Yang membuat tren 2026 lebih berbahaya adalah orkestrasi antartahap. Pelaku jarang bekerja secara acak. Ada urutan yang semakin rapi: curi identitas, lumpuhkan visibilitas, rusak cadangan, ambil data penting, baru aktifkan enkripsi atau ancaman publikasi. Dengan alur seperti itu, korban sering baru menyadari skala insiden ketika opsi pemulihan sudah menipis.
Mengapa Organisasi Menengah Ikut Jadi Target Empuk
Perhatian publik sering tertuju pada serangan terhadap perusahaan besar, institusi publik, atau infrastruktur penting. Namun, organisasi menengah justru menjadi sasaran yang sangat menarik pada 2026. Banyak pelaku melihat segmen ini memiliki ketergantungan digital tinggi, tetapi kontrol keamanan dan tata kelola identitas belum sekuat perusahaan raksasa. Selain itu, tim internal kerap terbatas sehingga pemantauan 24/7, pengujian restore, dan audit akses istimewa tidak berjalan konsisten.
Faktor lain yang memperbesar risiko adalah adopsi cepat layanan SaaS, backup cloud, dan perangkat kerja terdistribusi tanpa penyelarasan keamanan yang memadai. Dalam situasi seperti ini, organisasi merasa sudah “lebih aman” karena memakai layanan modern, padahal konfigurasi, segmentasi hak akses, dan logging belum tentu benar. Ransomware modern justru memanfaatkan celah di lapisan pengelolaan ini.
Tanda-Tanda Dini yang Sering Terlewat
Banyak insiden besar sebenarnya didahului anomali yang sempat muncul tetapi tidak segera dikaitkan dengan ancaman ransomware. Tim keamanan perlu lebih peka pada gejala yang terlihat kecil namun strategis.
- Login administrator dari lokasi atau perangkat yang tidak biasa.
- Pembuatan akun layanan baru tanpa tiket perubahan yang jelas.
- Peningkatan izin mendadak pada role cloud, backup, atau EDR.
- Penghapusan snapshot atau perubahan retensi backup di luar jadwal resmi.
- Sensor endpoint berhenti melapor secara serentak pada banyak perangkat.
- Lonjakan akses ke dokumentasi internal tentang proses restore dan arsitektur jaringan.
- Aktivitas kompresi data besar dan transfer keluar dari segmen sensitif.
Penggabungan telemetri identitas, endpoint, jaringan, dan backup menjadi semakin penting. Banyak organisasi masih memantau komponen-komponen itu secara terpisah sehingga pola serangan lintas sistem sulit terlihat. Padahal pelaku ransomware modern hampir selalu bergerak antarlapisan.
Langkah Mitigasi Paling Relevan untuk Minggu-Minggu Ini
Dalam konteks ancaman yang sedang panas pada Juli 2026, ada beberapa langkah praktis yang paling mendesak dilakukan oleh organisasi. Fokusnya bukan sekadar menambah alat baru, melainkan memperkuat lapisan yang kini paling diburu penyerang.
- Audit seluruh akun admin, akun layanan, dan token API yang terhubung ke backup, EDR, identitas, dan manajemen cloud.
- Pastikan MFA tahan phishing diterapkan pada akses administratif, terutama untuk panel cloud dan backup.
- Pisahkan akun admin dari akun kerja harian; terapkan prinsip least privilege dan just-in-time access.
- Aktifkan immutable backup, logical air-gap, serta approval berlapis untuk penghapusan salinan cadangan.
- Uji pemulihan dari backup secara berkala, termasuk skenario domain admin telah diambil alih.
- Batasi konektivitas antara lingkungan produksi, backup, dan konsol keamanan dengan segmentasi ketat.
- Periksa kebijakan anti-tamper pada EDR/XDR dan validasi bahwa perubahan konfigurasi menghasilkan alert prioritas tinggi.
- Tambal perangkat edge, VPN, hypervisor, dan aplikasi internet-facing secepat mungkin sesuai prioritas risiko.
- Tinjau akses vendor pihak ketiga dan cabut kredensial lama yang tidak lagi dibutuhkan.
- Pastikan log identitas, cloud, backup, dan endpoint tersimpan ke lokasi terpisah yang tidak mudah dimanipulasi penyerang.
Bagi pengguna rumahan dan pelaku usaha kecil, ancaman tetap relevan meski skala infrastrukturnya berbeda. Praktik dasar seperti pembaruan sistem rutin, penggunaan pengelola kata sandi, autentikasi multifaktor, backup eksternal yang tidak terus tersambung, serta kewaspadaan terhadap lampiran dan tautan mencurigakan tetap menjadi fondasi utama.
Pembayaran Tebusan Bukan Jaminan Pemulihan
Salah satu poin yang terus ditekankan komunitas keamanan adalah bahwa pembayaran tebusan tidak menjamin data pulih utuh, tidak menjamin data curian dihapus, dan tidak menutup kemungkinan serangan berulang. Pada model pemerasan modern, korban bisa menghadapi tiga tekanan sekaligus: enkripsi, ancaman publikasi data, dan sabotase backup. Karena itu, investasi terbesar seharusnya diarahkan pada pencegahan, deteksi dini, isolasi cepat, serta pemulihan independen.
Ketika backup turut dikunci atau dihapus, waktu pemulihan dapat melonjak drastis. Di sinilah kualitas persiapan benar-benar diuji. Organisasi yang telah memisahkan identitas administratif, menyimpan salinan cadangan yang benar-benar tidak mudah diubah, dan rutin melakukan simulasi pemulihan cenderung memiliki posisi negosiasi yang lebih kuat dan dampak operasional yang lebih terkendali.
Arah Ancaman untuk Semester Kedua 2026
Memasuki paruh kedua 2026, pelaku ransomware diperkirakan akan terus memusatkan serangan pada lapisan kontrol, bukan hanya aset data. Backup, identitas, konsol keamanan, dan integrasi cloud akan tetap menjadi target bernilai tinggi. Di saat yang sama, tekanan terhadap organisasi diperkirakan meningkat melalui kombinasi eksfiltrasi data, sabotase pemulihan, dan serangan terhadap pihak ketiga yang memiliki akses administratif ke banyak klien.
Bagi dunia usaha, pesan terbesarnya jelas: ransomware modern bukan lagi sekadar persoalan file terenkripsi. Ini adalah pertarungan memperebutkan kontrol atas identitas, visibilitas, dan kemampuan pulih. Organisasi yang masih menganggap backup biasa dan MFA standar sudah cukup berisiko tertinggal menghadapi lanskap ancaman terbaru. Di tengah serangan yang kian terorkestrasi, ketahanan nyata kini ditentukan oleh seberapa baik lapisan cadangan data, akses administratif, dan konsol keamanan dilindungi sebelum insiden datang.

