Serangan ransomware terhadap organisasi Indonesia sepanjang tahun 2025 menunjukkan eskalasi yang semakin serius dan mengkhawatirkan. Tidak lagi terbatas pada perusahaan swasta berskala besar, pelaku ransomware kini secara agresif menyasar sektor pemerintahan, layanan publik, BUMN, hingga institusi strategis yang memiliki peran vital bagi stabilitas nasional. Berdasarkan catatan dan analisis dari Vaksincom, pola serangan ransomware di Indonesia mengalami pergeseran signifikan. Jika sebelumnya fokus utama pelaku adalah pemerasan finansial, kini kebocoran data, sabotase layanan, dan tekanan reputasi menjadi senjata utama. Dalam konteks ini, ransomware telah berevolusi menjadi ancaman strategis, bukan sekadar kejahatan siber biasa.
Tahun 2025 menjadi titik balik penting dalam peta ancaman keamanan siber di Indonesia. Ransomware tidak lagi muncul sebagai insiden terpisah, melainkan sebagai pola serangan yang sistematis dan terencana. Pelaku memahami betul nilai strategis data yang dimiliki organisasi, mulai dari data operasional, finansial, hingga informasi sensitif yang berdampak langsung pada reputasi, kepercayaan publik, dan keberlangsungan layanan. Serangan pun dirancang bukan hanya untuk melumpuhkan sistem, tetapi untuk menciptakan tekanan bisnis, hukum, dan reputasi secara bersamaan.
Perubahan ini tercermin jelas dari pendekatan yang digunakan pelaku ransomware sepanjang 2025. Kebocoran data menjadi senjata utama, sementara negosiasi semakin dipersempit. Dalam banyak kasus, penolakan membayar tebusan hampir pasti berujung pada publikasi data yang merugikan banyak pihak, termasuk pemilik data yang tidak terlibat langsung dalam pengambilan keputusan. Pola umum serangan ransomware di Indonesia ditandai oleh:
Kondisi ini menunjukkan bahwa ransomware telah bertransformasi menjadi risiko strategis organisasi, bukan lagi sekadar isu teknis. Tanpa kesiapan perlindungan data, tata kelola keamanan yang kuat, dan respons insiden yang matang, organisasi Indonesia akan semakin rentan menghadapi tekanan finansial, hukum, dan reputasi di tengah lanskap ancaman siber yang kian agresif.
Baca juga: Mendeteksi Ransomware Sebelum Terlambat dengan Analisis Perilaku
Di antara berbagai grup ransomware yang aktif sepanjang 2025, The Gentlemen muncul sebagai salah satu pelaku paling agresif dan konsisten menargetkan organisasi Indonesia. Berdasarkan evaluasi insiden ransomware selama tahun tersebut, grup ini tercatat berhasil menjerat sedikitnya tiga institusi strategis, terdiri dari dua perusahaan swasta di sektor industri otomotif serta logistik dan distribusi, serta satu institusi pemerintah di sektor produksi pupuk nasional.
Pemilihan target ini menunjukkan bahwa The Gentlemen tidak beroperasi secara acak, melainkan memiliki pemahaman kuat terhadap nilai strategis data dan peran penting organisasi dalam rantai pasok nasional. Dalam menjalankan aksinya, The Gentlemen mengandalkan pendekatan double extortion tanpa kompromi. Serangan tidak berhenti pada enkripsi sistem, tetapi berlanjut pada pencurian dan ancaman publikasi data untuk menekan korban agar membayar tebusan. Modus operasi yang digunakan umumnya meliputi:
Pada beberapa kasus di Indonesia, ancaman tersebut benar-benar direalisasikan. Data hasil rampasan dipublikasikan melalui kanal mereka sebagai bentuk tekanan sekaligus pesan peringatan bagi organisasi lain. Jenis data yang dicuri oleh The Gentlemen tergolong sangat sensitif dan berdampak strategis bagi korban. Data tersebut mencakup:
Kebocoran data semacam ini tidak hanya mengancam keamanan informasi, tetapi juga berpotensi merusak daya saing, reputasi, dan posisi bisnis organisasi dalam jangka panjang, bahkan setelah insiden teknis dinyatakan selesai.
Nama Funksec menjadi sorotan besar di tahun 2025 setelah terlibat dalam sejumlah serangan ransomware yang berdampak langsung pada layanan publik. Berbeda dengan banyak pelaku lain yang fokus pada sektor korporasi, Funksec menunjukkan keberanian dengan menyasar infrastruktur vital yang berhubungan langsung dengan kebutuhan dasar masyarakat. Pola ini menjadikan serangan mereka bukan sekadar isu keamanan siber, tetapi juga ancaman terhadap kontinuitas layanan publik.
Salah satu insiden paling serius adalah keberhasilan Funksec menembus sistem SCADA milik sebuah PERUMDA air minum. Serangan ini tidak hanya berisiko terhadap data, tetapi juga berpotensi mengganggu distribusi air bersih. Situasi menjadi semakin mengkhawatirkan ketika Funksec diketahui melelang akses ke sistem SCADA tersebut di forum underground, membuka peluang sabotase lanjutan jika akses jatuh ke tangan pihak yang tidak bertanggung jawab. Selain itu, menurut Alfons Tanujaya, Funksec juga berada di balik serangan terhadap portal desa.id di Jawa Barat. Dalam insiden ini, data warga yang bocor meliputi:
Kebocoran data berskala komunitas seperti ini memperbesar risiko penipuan lanjutan, serangan social engineering, dan kejahatan finansial, sekaligus menunjukkan bahwa ransomware kini mampu menimbulkan dampak sosial yang jauh melampaui ranah teknologi.
Grup ransomware Killsec3 mencatat dua serangan besar pada paruh kedua tahun 2025 yang menegaskan fokus mereka pada target bernilai tinggi. Pola serangan ini menunjukkan bahwa Killsec3 tidak hanya mengejar tebusan finansial, tetapi juga memanfaatkan data sensitif sebagai alat tekanan terhadap organisasi yang memiliki peran penting dalam ekosistem ekonomi dan industri nasional. Pada September 2025, Killsec3 berhasil menginfeksi sistem salah satu penyedia dompet digital di Indonesia. Insiden ini kembali menegaskan bahwa sektor fintech masih menjadi sasaran utama ransomware karena menyimpan data bernilai tinggi dan berdampak langsung pada kepercayaan publik. Jenis data yang menjadi incaran meliputi:
Sebulan kemudian, pada Oktober 2025, Killsec3 berhasil menyusup ke jaringan komputer sebuah BUMN di sektor perminyakan. Dalam serangan ini, data yang dicuri mencakup:
Karena tuntutan tebusan ditolak, data tersebut akhirnya disebarkan ke publik. Dampaknya tidak hanya merusak reputasi organisasi, tetapi juga memicu risiko hukum, kepatuhan, serta membuka peluang penyalahgunaan data oleh pihak ketiga di luar kendali korban.
Serangan ransomware di Indonesia sepanjang tahun 2025 tidak hanya menyasar sektor sipil, tetapi juga merambah ke ranah pertahanan. Pada April 2025, sebuah institusi militer dilaporkan menjadi korban serangan grup APT73, menandai eskalasi serius dalam lanskap ancaman siber nasional. Insiden ini menunjukkan bahwa institusi dengan tingkat sensitivitas tinggi sekalipun tidak luput dari risiko ransomware dan kebocoran data. Dalam serangan tersebut, data personel militer yang bocor tergolong sangat sensitif, antara lain:
Kebocoran data personel militer memiliki implikasi keamanan nasional yang signifikan. Informasi personal semacam ini dapat dimanfaatkan untuk pemetaan target, upaya intimidasi, hingga mendukung operasi intelijen oleh pihak asing, sehingga menjadikan insiden ransomware di sektor pertahanan sebagai ancaman strategis yang melampaui dampak teknis semata.
Sektor hukum yang selama ini kerap dianggap relatif aman juga tidak luput dari serangan ransomware pada tahun 2025. Sebuah firma hukum nasional dilaporkan menjadi korban ransomware Crypto24, dengan skala kebocoran yang sangat signifikan. Lebih dari 700 GB data berhasil disandera, mencerminkan besarnya nilai informasi yang tersimpan dalam sistem firma hukum dan tingginya daya tarik sektor ini bagi pelaku ransomware. Data yang terdampak dalam insiden tersebut mencakup:
Kasus ini menunjukkan bahwa firma hukum menyimpan data bernilai sangat tinggi, namun sering kali belum dilengkapi dengan sistem keamanan siber dan kesiapan respons insiden yang sebanding dengan tingkat risiko yang dihadapi.
Pada Agustus 2025, ransomware Warlock menyerang sebuah perusahaan charter transportasi udara di Indonesia. Karena korban memilih tidak membayar tebusan, berbagai dokumen sensitif akhirnya tersebar ke publik, memperlihatkan konsekuensi nyata dari skema double extortion yang diterapkan pelaku ransomware. Dokumen yang bocor akibat serangan tersebut meliputi:
Insiden ini menegaskan bahwa sektor transportasi udara, terutama layanan charter dan penerbangan khusus menjadi target menarik bagi pelaku ransomware karena menyimpan data operasional dan bisnis yang sensitif serta berdampak langsung pada kepercayaan klien dan mitra.
Sepanjang tahun 2025, serangan ransomware terhadap organisasi Indonesia menunjukkan pola yang semakin konsisten dan terstruktur. Pelaku tidak lagi bergerak secara oportunistik, melainkan menerapkan strategi yang dirancang untuk memaksimalkan tekanan terhadap korban, baik dari sisi operasional, reputasi, maupun hukum. Jika dirangkum, terdapat beberapa pola utama yang mendominasi lanskap ransomware di Indonesia tahun ini:
Pola-pola ini menunjukkan bahwa ransomware di Indonesia tahun 2025 telah berkembang menjadi ancaman strategis lintas sektor. Tanpa pendekatan perlindungan data dan kesiapan respons insiden yang matang, organisasi akan semakin rentan terhadap tekanan berlapis yang ditimbulkan oleh serangan ransomware modern.
Dalam setiap insiden ransomware, kerugian tidak berhenti pada organisasi yang sistemnya diserang. Pihak yang sering kali paling terdampak justru adalah pemilik data yaitu karyawan, pelanggan, warga, atau individu lain yang tidak memiliki kendali atas bagaimana data mereka disimpan dan dilindungi. Ketika data pribadi bocor, risikonya dapat berlangsung lama dan berlapis, mulai dari penipuan, pencurian identitas, hingga tekanan psikologis akibat penyalahgunaan informasi personal.
Hal ini ditegaskan oleh Alfons Tanujaya, yang menekankan bahwa dalam kasus kebocoran data, pemilik data adalah pihak yang paling menderita. Ia menilai pengelola data memiliki tanggung jawab untuk melakukan mitigasi dan secara aktif menginformasikan kepada pemilik data ketika kebocoran terjadi. Transparansi, notifikasi yang tepat waktu, dan langkah mitigasi pasca-insiden menjadi krusial agar pemilik data dapat waspada, mengantisipasi eksploitasi lanjutan, dan tidak menjadi korban penipuan atau kejahatan turunan lainnya.
Baca juga: Indonesia Sumber Serangan DDoS Terbesar: Apa Artinya bagi Bisnis?
Ransomware di Indonesia pada tahun 2025 telah berkembang menjadi ancaman multidimensi yang menyentuh aspek teknologi, bisnis, hukum, dan keamanan nasional. Organisasi Indonesia tidak lagi bisa memandang ransomware sebagai risiko IT semata, melainkan sebagai risiko strategis organisasi. Dengan meningkatnya serangan terhadap sektor vital, pendekatan keamanan siber harus bertransformasi dari reaktif menjadi preventif, berbasis risiko, dan berorientasi pada perlindungan data. Tanpa perubahan pendekatan, ransomware akan terus menjadi senjata efektif bagi pelaku kejahatan siber di Indonesia pada tahun-tahun mendatang.