PADA 20 Juni 2024, Pusat Data Nasional (PDN) Kementerian Komunikasi dan Informatika (Kominfo) Indonesia mengalami gangguan serius yang diakibatkan oleh serangan ransomware. Ransomware yang digunakan dalam serangan ini adalah varian baru bernama "Brans Sier," yang merupakan pengembangan dari "LockBit 3.0".

Serangan ini menyebabkan gangguan signifikan pada berbagai layanan publik, termasuk sistem imigrasi di sejumlah bandara, yang lumpuh sejak tanggal serangan hingga beberapa hari kemudian.

Kronologi Serangan

Tanggal serangan pada 20 Juni 2024. Lokasi yang terkena adalah pusat data sementara di Surabaya. Dampak langsungnya gangguan pada layanan imigrasi di bandara dan beberapa layanan publik lainnya.

Konfirmasi penyebab: Pada 24 Juni 2024, Kepala Badan Siber dan Sandi Negara (BSSN) mengonfirmasi bahwa gangguan tersebut disebabkan oleh serangan ransomware "Brans Sier".

Pengembangan, Brans Sier adalah varian terbaru dari LockBit 3.0, sebuah ransomware yang dikenal karena penyebarannya cepat dan kemampuan enkripsinya kuat.

Metode enkripsi: Brans Sier mengenkripsi file dengan algoritma enkripsi yang sangat kuat, membuat data tidak dapat diakses tanpa kunci dekripsi yang hanya dimiliki oleh penyerang.

Permintaan tebusan: Penyerang meminta tebusan sebesar 8 juta dolar AS (sekitar Rp131 miliar) untuk memberikan kunci dekripsi.

Mekanisme Masuk dan Penyebaran Ransomware

1. Eksploitasi Kerentanan

Ransomware ini kemungkinan besar memanfaatkan kerentanan yang belum ditambal dalam perangkat lunak atau sistem operasi yang digunakan oleh PDN. Misalnya, kerentanan dalam sistem database atau aplikasi web yang terhubung ke database bisa menjadi pintu masuk.

2. Akses Jaringan Tidak Sah

Penyerang mungkin menggunakan metode brute force untuk menebak kata sandi atau mencuri kredensial melalui serangan phishing. Akses yang tidak sah ke jaringan memungkinkan ransomware untuk menyebar ke server dan perangkat lain yang terhubung.

3. Phishing dan Social Engineering

Phishing email yang mengandung malware dapat menginfeksi PC pegawai. Jika PC tersebut terhubung ke jaringan server, ransomware dapat menyebar dari PC ke server.

4. Drive Jaringan dan Aplikasi Web

Drive jaringan yang dapat diakses oleh server yang terinfeksi juga bisa menjadi faktor penyebaran. Aplikasi web yang terhubung dengan database bisa dieksploitasi melalui kerentanan seperti SQL injection atau remote file inclusion.

Brans Sier adalah varian ransomware terbaru yang merupakan pengembangan dari "LockBit 3.0." LockBit sendiri adalah jenis ransomware yang pertama kali muncul pada tahun 2019 dan telah berkembang melalui beberapa versi, termasuk LockBit 2.0 dan sekarang LockBit 3.0.

Varian terbaru ini, Brans Sier, menunjukkan evolusi dari teknik dan metode yang digunakan oleh ransomware sebelumnya untuk meningkatkan efektivitas dan dampaknya.

Sejarah LockBit Ransomware

LockBit 1.0 (2019): Varian pertama yang menargetkan organisasi dengan mengunci file dan meminta tebusan. LockBit 2.0 (2020): Peningkatan dari varian pertama, termasuk teknik penyebaran yang lebih cepat dan enkripsi yang lebih kuat.

LockBit 3.0 (2022): Dikenal sebagai salah satu ransomware yang paling cepat menyebar, dengan kemampuan enkripsi file yang sangat canggih dan strategi pemerasan ganda, di mana data dicuri sebelum dienkripsi dan diancam akan dipublikasikan jika tebusan tidak dibayar.

Karakteristik dan Teknik Brans Sier

Sebagai pengembangan dari LockBit 3.0, Brans Sier membawa beberapa fitur dan teknik baru yang meningkatkan kemampuan ransomware ini untuk menembus dan merusak sistem.

Fitur Utama Brans Sier

1. Teknik Penyebaran Canggih

Eksploitasi Kerentanan: Brans Sier menggunakan eksploitasi kerentanan dalam perangkat lunak atau sistem operasi yang belum ditambal. Kerentanan ini bisa termasuk dalam aplikasi web, database, atau perangkat lunak server.

Phishing dan Social Engineering: Penyerang menggunakan email phishing yang tampak sah untuk mengelabui pengguna agar mengklik tautan atau lampiran berbahaya, yang kemudian menginstal ransomware pada perangkat.

2. Enkripsi Data yang Kuat

Algoritma Enkripsi: Brans Sier menggunakan algoritma enkripsi yang sangat kuat, seperti AES-256 dan RSA-2048, untuk mengunci file korban. Algoritma ini membuat dekripsi tanpa kunci yang tepat hampir tidak mungkin dilakukan.

File Locking: Setiap file yang dienkripsi oleh Brans Sier mendapatkan ekstensi file baru yang unik, menunjukkan bahwa file tersebut telah dikunci oleh ransomware.

3. Pemerasan Ganda

Data Exfiltration: Sebelum mengenkripsi file, Brans Sier mencuri data penting dari sistem korban. Data ini digunakan sebagai leverage tambahan untuk memeras korban, mengancam akan mempublikasikan data yang dicuri jika tebusan tidak dibayar.

Publikasi Data: Data yang dicuri dari korban yang menolak membayar tebusan dipublikasikan di situs gelap yang dikelola oleh kelompok penyerang, menambah tekanan pada korban untuk membayar tebusan.

4. Teknik Anti-Forensik dan Anti-Analisis

Obfuscation: Brans Sier menggunakan berbagai teknik obfuscation untuk menyembunyikan kode berbahaya dari perangkat lunak keamanan dan analisis forensik.

Termination of Security Processes: Ransomware ini mampu mendeteksi dan menghentikan proses dari perangkat lunak keamanan yang berjalan di sistem korban, mencegah deteksi dan pembersihan malware.

5. Pemrograman Modular

Modular Structure: Brans Sier memiliki struktur modular yang memungkinkan penyerang untuk menambahkan atau mengubah fungsionalitas dengan mudah. Ini membuat ransomware lebih fleksibel dan dapat disesuaikan untuk berbagai jenis serangan.

Dynamic Configuration: Konfigurasi ransomware dapat diperbarui secara dinamis, memungkinkan penyerang untuk mengubah perilaku serangan sesuai dengan lingkungan yang diserang.

Proses Serangan Brans Sier

1. Tahap Awal-Infiltrasi

Phishing Email: Korban menerima email phishing yang tampak sah dengan lampiran atau tautan berbahaya.

Eksploitasi Kerentanan: Jika email phishing berhasil, ransomware diinstal melalui eksploitasi kerentanan dalam perangkat lunak atau sistem operasi.

2. Tahap Menengah-Penyebaran

Lateral Movement: Setelah menginfeksi satu perangkat, Brans Sier menyebar ke perangkat lain dalam jaringan melalui drive jaringan bersama atau kerentanan protokol jaringan.

Persistence: Ransomware memastikan tetap bertahan di sistem dengan membuat entri startup dan memodifikasi registri sistem.

3. Tahap Akhir-Enkripsi dan Pemerasan

Data Exfiltration: Data penting dicuri dari sistem korban dan dikirim ke server yang dikendalikan oleh penyerang.

Enkripsi File: Semua file penting di sistem korban dienkripsi, dan korban diberikan pesan tebusan yang menjelaskan bagaimana membayar tebusan untuk mendapatkan kunci dekripsi.

Pemerasan Ganda: Jika tebusan tidak dibayar, penyerang mengancam akan mempublikasikan data yang dicuri.

Langkah-Langkah Umum Pemulihan dari Serangan Brans Sier

1. Isolasi Sistem yang Terinfeksi

Segera isolasi perangkat yang terinfeksi dari jaringan untuk mencegah penyebaran lebih lanjut.

2. Identifikasi dan Analisis Forensik

Lakukan analisis forensik untuk mengidentifikasi varian ransomware dan metode yang digunakan penyerang.

3. Notifikasi Pihak Terkait

Informasikan tim IT, manajemen, dan pihak berwenang tentang serangan tersebut.

4. Pemulihan Data dari Backup

Verifikasi bahwa backup data tidak terinfeksi dan gunakan untuk memulihkan data yang dienkripsi.

5. Pembersihan dan Pembaruan Sistem

Gunakan alat antivirus dan anti-malware untuk membersihkan sistem dari ransomware. Pastikan semua perangkat lunak diperbarui dengan patch keamanan terbaru.

Langkah Pencegahan di Masa Depan

1. Implementasi ISO 27001

Adopsi standar ISO 27001 untuk memastikan sistem manajemen keamanan informasi yang komprehensif dan berkelanjutan.

2. Peningkatan Keamanan Jaringan

Gunakan firewall, VPN, dan segmentasi jaringan untuk membatasi akses hanya kepada IP yang terpercaya. Terapkan multi-factor authentication (MFA) untuk semua akses jaringan dan akun.

3. Pemantauan dan Audit Berkala

Implementasi pemantauan aktif dan audit keamanan berkala untuk mendeteksi dan merespons ancaman dengan cepat. Melakukan audit keamanan secara menyeluruh pada sistem dan jaringan.

4. Pelatihan dan Kesadaran Pengguna

Berikan pelatihan keamanan informasi secara berkala kepada semua pegawai untuk meningkatkan kesadaran tentang ancaman seperti phishing. Mengadakan simulasi serangan untuk menguji dan memperkuat kesadaran keamanan pegawai.

5. Manajemen Backup yang Kuat

Melakukan backup data secara teratur dan memastikan bahwa backup disimpan di lokasi yang terisolasi dari jaringan utama. Menguji prosedur pemulihan secara berkala untuk memastikan data dapat dipulihkan dengan cepat dan efektif jika terjadi serangan ransomware.

Dengan pemahaman yang mendalam tentang Brans Sier dan langkah-langkah keamanan yang tepat, organisasi dapat lebih siap untuk mencegah, mendeteksi, dan memulihkan dari serangan ransomware yang canggih ini.

Serangan ransomware pada Pusat Data Nasional Indonesia telah berlangsung selama beberapa hari dan data belum berhasil dipulihkan, ini dapat mengindikasikan beberapa kemungkinan terkait dengan backup data.

Berikut adalah beberapa poin penting yang bisa diambil dari situasi ini:

Kemungkinan Masalah dengan Backup Data

1. Tidak Ada Backup Data yang Teratur

Deskripsi: Mungkin tidak ada prosedur backup yang teratur dan rutin diimplementasikan sebelum serangan terjadi.

Indikasi: Data yang dibutuhkan untuk pemulihan tidak tersedia atau hanya tersedia sebagian.

2. Backup Data Terinfeksi

Deskripsi: Backup yang dilakukan mungkin juga terinfeksi oleh ransomware karena tidak ada pemisahan antara sistem utama dan sistem backup.

Indikasi: Backup data tidak dapat digunakan untuk pemulihan karena file backup juga terenkripsi oleh ransomware.

3. Backup Data Tidak Lengkap

Deskripsi: Backup data mungkin tidak mencakup semua file atau sistem yang penting.

Indikasi: Data yang dibutuhkan untuk memulihkan operasi penuh tidak tersedia karena backup yang tidak lengkap.

4. Prosedur Pemulihan Tidak Efektif

Deskripsi: Mungkin ada masalah dengan prosedur pemulihan data, seperti ketidakmampuan untuk mengakses atau menggunakan backup yang ada.

Indikasi: Meskipun backup data ada, proses pemulihan tidak berjalan lancar atau memakan waktu lebih lama dari yang diharapkan.

4. Keterbatasan Infrastruktur Backup

Deskripsi: Infrastruktur backup yang ada mungkin tidak memadai untuk menangani skala data yang dibutuhkan untuk pemulihan cepat.

Indikasi: Pemulihan data memakan waktu lama karena keterbatasan kapasitas atau kecepatan sistem backup.

5. Serangan Menargetkan Sistem Backup

Deskripsi: Penyerang mungkin secara khusus menargetkan dan mengenkripsi sistem backup sebagai bagian dari serangan.

Indikasi: Sistem backup yang seharusnya melindungi data dari serangan ransomware juga terpengaruh, membuat pemulihan menjadi lebih sulit.

Dampak dari Masalah Backup

Jika tidak ada backup data yang dapat digunakan, dampaknya bisa sangat signifikan.

Pertama, downtime yang berkepanjangan. Operasional layanan publik dan sistem penting lainnya akan terhenti hingga data dapat dipulihkan atau dibangun kembali.

Kedua, kerugian finansial. Biaya yang terkait dengan downtime, pemulihan data, dan perbaikan sistem bisa sangat besar.

Ketiga, kerusakan reputasi. Kepercayaan publik dan pemangku kepentingan dapat terganggu karena ketidakmampuan untuk memulihkan layanan dengan cepat.

Keempat, kehilangan data permanen. Beberapa data mungkin hilang secara permanen jika tidak ada backup yang dapat digunakan.

Kita tentu hanya bisa membahas teknis, yang urusan tidak teknis tidak dibahas di tulisan ini, pemerintah wajib tidak membayar tebusan yang diminta pengirim ransomware karena ini menyalahi aturan. 

*Pakar IT Kecerdasan Buatan Universitas Airlangga Surabaya