Cara Virus Ransomware Menyerang Pusat Data Nasional

Pembahasan Zscaler, mengenai tiga tahap serangan ransomware. zscaler.com

Peretasan ini tak hanya melumpuhkan layanan imigrasi di bandara, sebanyak 200 lembaga pemerintah juga mengalami gangguan. Persoalannya, pemerintah tidak memiliki data cadangan (backup) sehingga layanan pada PDNS2 lumpuh total. Padahal Pusat Data Nasional dirancang khusus sebagai fasilitas terpusat agar semua data antarlembaga negara saling terhubung.

Ketika semua akses terhadap data di PDNS tertutup, kata Pratama, sebetulnya peretas sudah berubah menjadi pengendali utama sistem. Peretas dapat melihat dan mengakses semua komponen infrastruktur untuk mencari data atau file berharga. “Setelah ditemukan, peretas akan mencuri file tersebut sebagai alat pemerasan ganda jika korban tidak bersedia membayar tebusan,” ucapnya.

Kasus semacam ini sering dihadapi Pratama. Beberapa kliennya bahkan pernah dimintai uang tebusan hingga US$ 500 ribu atau setara dengan Rp 8,1 miliar untuk mendapatkan kembali file yang dicuri peretas. Namun ia selalu menyarankan kliennya tidak membayar tebusan meski peretas mengancam akan menjual data ke situs dark web. Yang dilakukan Pratama adalah melakukan forensik digital dan berupaya memulihkan file atau membangun ulang sistem dengan memasukkan data lama.

Pratama Dahlian Persadha. pasca.ugm.ac.id

ThreatLabz—tim riset keamanan siber global dari perusahaan keamanan komputasi awan Amerika Serikat, Zscaler—melaporkan adanya evolusi ransomware sejak pertama kali ditemukan pada 2019. Pada laporan 2023, ThreatLabz menemukan aktivitas baru, yakni peretas yang membocorkan data dan percakapan dengan para korban yang menolak membayar uang tebusan. Salah satu korbannya Royal Mail Group di Inggris, yang tidak membayar tebusan US$ 80 juta.

Laporan tersebut juga mendapati peningkatan serangan ransomware pada 2023 sebesar 37 persen dibanding tahun sebelumnya. Rata-rata jumlah uang tebusan juga meningkat dari US$ 100 ribu menjadi US$ 5,3 juta. Negara yang paling banyak disasar adalah Amerika Serikat, yang mencapai 28,9 persen. Disusul Kanada (4,7 persen), Prancis (4,7 persen), dan Inggris (3,9 persen). Adapun serangan di Indonesia tercatat mencapai 1,2 persen.

Tim ThreatLabz juga mengidentifikasi ransomware yang paling banyak melakukan peretasan, di antaranya LockBit, BlackCat, Clop, BlackBasta, dan Karakurt. Serangan ransomware yang paling masif adalah LockBit 3.0. Mereka menemukan rangkaian aktivitas saat LockBit menginfeksi perangkat korban. “Dimulai saat korban tanpa sadar mengakses situs yang disusupi, memicu pengunduhan malware bernama SocGholish, atau menyamar sebagai pembaruan perangkat lunak,” tulis tim ThreatLabz dalam laporan yang dipublikasikan pada akhir tahun lalu.

SocGholish, kata ThreatLabz, berperan mengumpulkan informasi pada sistem dan domain yang sedang diretas. Kemudian peretas akan mengunduh Cobalt Strike atau perangkat lunak untuk menguji sistem pertahanan yang digunakan korban dalam melindungi data. Cobalt Strike juga digunakan untuk menjalankan mekanisme komando dan kontrol atau C2.

Tahap berikutnya, peretas akan menghapus antivirus dan berbagai layanan keamanan pada sistem komputer korban, lalu menghentikan semua layanan pencadangan. Selanjutnya, hacker akan menggunakan Seatbelt dan BloodHound untuk mengumpulkan informasi tambahan. Dua program ini bertugas mengintai dan mengekstrak data korban, membantu identifikasi file bernilai tinggi, dan melakukan eksploitasi pada sistem.

Selanjutnya, peretas akan menggangsir data penting menggunakan PsExec—sebuah teknik yang digunakan penyerang siber setelah berhasil mendapatkan akses awal masuk jaringan. Pada posisi ini, peretas mengoperasikan ransomware LockBit untuk menguasai sistem dan jaringan secara penuh. Termasuk mengenkripsi file korban sebagai sandera untuk meminta tebusan agar dibayar.

Pemaparan perkembangan Pusat Data Nasional di Cikarang, Bekasi, Februari 2024. Dok. Kemenkominfo

“Jika uang tebusan yang diminta LockBit tidak dibayarkan, grup tersebut akan mempublikasi data yang dicuri,” tulis ThreatLabz. Mereka juga akan mengekspos data melalui situs-situs yang dapat diakses publik. “LockBit secara konsisten memang menargetkan banyak industri di sektor manufaktur, otomotif, elektronik, bahkan lembaga pemerintah.”

Seorang sumber Tempo di bidang keamanan siber menemukan kejanggalan mitigasi dan pengamanan pemerintah ketika menghadapi serangan peretas pada PDNS2. Menurut dia, semestinya pemerintah memiliki pusat operasi keamanan (SOC) yang bertugas selama 24 jam. Kerja mereka adalah memantau tampilan layar atas sensor-sensor alarm yang dipasang pada sistem operasi dan semua server. “Karena, bila ada anomali apa pun, biasanya alarm akan menyala,” ucap sumber ini.

Kerja-kerja SOC adalah meminimalkan risiko agar data dapat segera diselamatkan dari proses pengambilalihan. Di luar itu, dia mengkritik tim dalam berkomunikasi dengan peretas untuk membicarakan uang tebusan. Dia menunjukkan bukti bahwa tim negosiator tidak melakukan negosiasi untuk pembayaran tebusan.

Padahal negosiasi yang tepat penting dilakukan agar pemerintah dapat meminimalkan risiko, termasuk memastikan data apa saja yang disandera oleh peretas. Selain itu, berdasarkan informasi yang dia peroleh, ada dugaan kelalaian yang dilakukan oleh petugas PDNS2 di Surabaya sehingga ransomware terpasang melalui metode pengelabuan.

Menteri Komunikasi dan Informatika Budi Arie Setiadi enggan menjawab pertanyaan ihwal musabab peretasan. “Bukan lalai, tapi ini pelakunya memang berkaliber,” ujar Budi ketika dimintai konfirmasi pada Kamis, 27 Juni 2024. Budi memastikan tak ada petugas yang lalai. Dia menganggap insiden peretasan ini sebagai bencana yang tak dapat disangka-sangka.

General Manager Kaspersky untuk Asia Tenggara, Yeo Siang Tiong, mewanti-wanti ancaman ransomware dengan pelbagai jenisnya. Kata dia, ransomware makin berkembang dalam lima tahun terakhir yang mengancam perusahaan, bahkan pemerintah. “Penjahat dunia maya kini telah berhenti menginfeksi komputer sebanyak mungkin. Mereka lebih menargetkan korban dalam skala dampak yang besar.”

Kaspersky, menurut Yeo, telah memblokir sekitar 300 ribu serangan yang terjadi di seluruh wilayah Asia Tenggara dalam kurun setahun belakangan. Serangan ransomware terbanyak terjadi di Thailand dengan jumlah 109.315 kali. Serangan ke Indonesia ada di peringkat kedua dengan jumlah 97.226 kali. Kemudian Vietnam (dengan 59.837 serangan), Filipina (15.312 serangan), Malaysia (4.982 serangan), dan Singapura (741 serangan).

“Munculnya kembali dugaan insiden siber ransomware yang menyasar lembaga-lembaga penting negara terbukti bahwa pelaku makin memfokuskan sasarannya,” tutur Yeo. Dia mengingatkan bahwa berbagai jenis infeksi ransomware berdampak nyata hilangnya data. Dia menyarankan pemerintah menyediakan tim analisis peristiwa keamanan secara real-time untuk mendeteksi setiap serangan.

Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan menjelaskan, peretas tak hanya mengincar data di Indonesia, tapi juga di banyak negara. Salah satunya serangan yang dihadapi Arab Saudi tahun lalu. “Ini sudah menjadi peringatan bagi semua negara,” ucap Semuel pada Rabu, 26 Juni 2024.

Semuel menjamin pemerintah tidak akan membuat kesalahan dengan membayar uang tebusan senilai US$ 8 juta yang diminta peretas. Saat ini pemerintah berfokus melakukan forensik digital untuk mengidentifikasi serangan secara rinci. Apalagi ransomware LockBit 3.0 Brain Cipher merupakan malware teranyar, sehingga pemerintah perlu berbagi informasi dengan sejumlah negara terdekat, seperti India yang pernah menghadapi kasus yang sama.

Pemerintah juga terus memulihkan data yang dienkripsi peretas, misalnya data pada Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia yang sempat lumpuh beberapa saat. “Langkah-langkah pemulihan terus dilakukan. Sebagian layanan keimigrasian, seperti paspor, visa, izin tinggal, dan perlintasan, sudah mulai kembali beroperasi,” tutur Semuel.

Adapun Kepala Badan Siber dan Sandi Negara Hinsa Siburian mengatakan timnya baru mengetahui adanya serangan ransomware pada 20 Juni 2024 atau beberapa hari setelah serangan terjadi di PDNS2 Surabaya. Hinsa lantas mengerahkan tim ke lokasi. Tujuannya adalah membantu Kementerian Komunikasi dan Informatika dan Telkom Sigma, yang mengelola PDN Sementara, memulihkan data.