Apa Itu Lockbit 3.0 Ransomware yang Serang Pusat Data Nasional? Ternyata Begini Cara Kerjanya

JAKARTA, KOMPAS.TV - Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian mengatakan pihaknya berhasil menemukan sumber serangan di server Pusat Data Nasional Sementara (PDNS) yang berasal dari file ransomware dengan nama Brain Cipher Ransomware. 

Ransomware ini, kata Hinsa, adalah pengembangan terbaru dari ransomware Lockbit 3.0. 

Serangan inilah yang membuat PDNS mengalami gangguan sejak hari Kamis 20 Juni 2024 lalu, sehingga menyebabkan beberapa layanan publik termasuk layanan imigrasi terkendala. 

“Hasil identifikasi kami atas kendala yang terjadi pada Pusat Data Nasional Sementara akibat serangan serangan siber berjenis ransomware,” ujarnyasaat memberikan keterangan pers di Kantor Kementerian Komunikasi dan Informatika, Jakarta Pusat, Senin (24/06/2024).

Sementara itu, Direktur Network dan IT Solutions Telkom Herlan Wirjanako menyebut ransomware Brain Cipher ini mengunci data PDN dan meminta tebusan sebesar 8 juta dollar AS (sekitar Rp131,2 miliar).

"Jadi memang di dark web (situs gelap) itu ada jalan dan kita ikuti, mereka (pihak yang menyebar ransomware) minta tebusan ada 8 juta dollar AS. Demikian," kata Herlan. 

Baca Juga: Pusat Data Nasional Diserang Hacker dengan Malware, Begini Kritik DPR ke BSSN

Apa Itu Ransomware?

Melansir kominfo.kotabogor.go.id, ransomware adalah jenis perangkat lunak yang bertujuan untuk mengenkripsi data atau mengakses sistem, kemudian meminta tebusan dalam bentuk uang atau cryptocurrency untuk mengembalikan akses data atau sistem ke pemiliknya.

Cara Ransomware Menyerang

1. Melalui Phishing

Serangan sering kali dimulai melalui surel atau pesan yang terlihat sah. Korban akan diminta untuk mengklik tautan atau membuka lampiran yang sebenarnya berisi malware.

2. Eksploitasi Celah Keamanan

Para penjahat siber memanfaatkan celah keamanan yang ada pada perangkat atau perangkat lunak yang belum diperbarui untuk menyusup dan mengenkripsi data.

3. Perangkat Lunak Tidak Resmi

Pengunduhan atau penggunaan perangkat lunak yang tidak sah atau tidak resmi, terutama dari sumber yang tidak tepercaya, dapat membuka pintu bagi malware.

Sementara itu, lockbit adalah salah satu 'geng' ransomware yang sangat aktif dan berbahaya dan paling aktif di dunia selama tiga tahun terakhir.

Menurut data firma keamanan siber Trend Micro, selama kuartal pertama 2024, sindikat yang terafiliasi dengan Lockbit menjadi pelaku serangan ransomware paling berhasil, dengan jumlah serangan sukses pada 217 korban, seperti dikutip dari Kompas.id.

Baca Juga: Pusat Data Nasional Diserang Hacker dengan Malware, Begini Kritik DPR ke BSSN

Cara Kerja Virus Ransomware

• Infeksi dan Penyebaran

Ransomware dapat menyebar melalui berbagai cara, termasuk lampiran surel berbahaya, tautan yang meragukan, situs web yang terinfeksi, atau eksploitasi kerentanan dalam perangkat dan perangkat lunak. Setelah perangkat terinfeksi, ransomware mulai bekerja.

• Enkripsi Data

Ransomware akan memindai file di perangkat dan mengenkripsi data yang berharga dengan menggunakan algoritma enkripsi yang kuat. File yang dienkripsi akan memiliki ekstensi yang berbeda atau tambahan yang mengindikasikan bahwa file tersebut tidak dapat diakses.

• Tampilan Pesan Tebusan

Setelah berhasil mengenkripsi data, ransomware akan menampilkan pesan tebusan kepada pengguna. Pesan ini berisi instruksi tentang cara membayar tebusan dan mendapatkan kunci dekripsi untuk memulihkan akses ke data yang terenkripsi. Biasanya, pesan tebusan ini menampilkan batas waktu dan ancaman untuk menghapus data jika tebusan tidak dibayar.

• Pembayaran Tebusan

Penyerang meminta pembayaran tebusan dalam bentuk mata uang digital seperti Bitcoin atau Ethereum. Metode pembayaran yang digunakan memungkinkan para penyerang untuk menjaga anonimitas mereka, membuat pelacakan dan pelacakan aktivitas mereka sulit dilakukan.

• Pemulihan Data

Jika tebusan dibayar, penyerang akan memberikan kunci dekripsi kepada pengguna untuk memulihkan akses ke data yang terenkripsi. Namun, tidak ada jaminan bahwa data akan dikembalikan sepenuhnya atau bahwa penyerang tidak akan kembali menyerang.

Baca Juga: Hacker Minta Tebusan 8 Juta Dolar AS, Begini Respons Pemerintah Indonesia

Kronologi Ransomware Serang PDN

Hinsa Siburian mengatakan, dari insiden ransomware tersebut, BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas jahat atau malicious dapat berjalan.

Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, di antaranya melakukan instalasi file malicious, menghapus sistem fail penting, dan menonaktifkan layanan yang sedang berjalan.

File yang berkaitan dengan storage atau penyimpanan, seperti: VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai di-disable atau dilumpuhkan dan crash.

“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami crash dan tidak bisa beroperasi,” jelas Hinsa.

Saat ini, sambung Hinsa, BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat. 

“BSSN Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta sampai dengan hari ini masih terus melakukan investigasi secara menyeluruh mengacu pada bukti-bukti forensik yang telah didapat. Dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut,” ungkap Hinsa.