Pesan Menohok Hacker yang Bobol Pusat Data Nasional Milik Pemerintah Indonesia: Rekrut SDM Siber yang Kompeten!
SABANGMERAUKE NEWS, Jakarta - Brain Cipher, kelompok hacker yang diduga jadi dalang serangan ransomware ke server PDNS (Pusat Data Nasional Sementara), mengaku kasihan dengan sistem keamanan siber di Indonesia dan berjanji akan memberikan kunci untuk membuka data terdampak.
Pada 20 Juni 2024, PDNS yang merupakan tempat pengelolaan dan penyimpanan data dari sistem elektronik instansi pemerintah, sempat mengalami gangguan yang diakibatkan oleh serangan ransomware Lockbit 3.0 varian baru bernama Brain Cipher.
Serangan ransomware itu mengakibatkan total 210 layanan pemerintah yang dikelola PDNS mengalami gangguan. Sama seperti jenis ransomware lainnya, Brain Cipher juga mengunci atau mengenkripsi data-data yang tersimpan di PDNS.
Data di PDNS yang terkunci pun tak dapat dipulihkan pemerintah. Sepekan sudah gangguan PDNS terjadi, tiba-tiba di darkweb muncul laman dari akun yang mengatasnamakan Brain Cipher, nama yang sama seperti nama ransomware yang menyerang PDNS.
Janji bakal kasih kunci data PDNS secara cuma-cuma
Di laman tersebut, hacker Brain Cipher membuat pengumuman untuk pemerintah dan masyarakat Indonesia atas kejadian serangan ransomware LockBit 3.0 Brain Cipher yang mengganggu PDNS.
Dalam pengumuman bertajuk “More Important than Money, Only Honor” dengan terdapat logo Kemenkominfo itu, mereka berjanji bakal memberikan kunci untuk membuka data PDNS secara cuma-cuma alias gratis.
Kunci itu merupakan hal penting untuk bisa membuka kembali data yang terenkripsi ransomware.
Sementara pemerintah tidak mampu membuka data di PDNS yang terenkripsi karena ransomware, Brain Cipher malah akan memberikannya secara gratis.
Brain Cipher akan memberikan kunci data PDNS karena merasa kasihan dengan sistem keamanan siber pemerintah. Mereka beralasan jika serangan dilakukan hanya untuk mengingatkan pentingnya mengelola sistem keamanan siber dengan baik.
"Hari Rabu ini, kami akan merilis kunci enkripsi (PDNS 2) kepada Pemerintah Indonesia secara gratis. Kami harap serangan kami membuat pemerintah sadar bahwa mereka perlu meningkatkan keamanan siber mereka, terutama merekrut SDM keamanan siber yang kompeten," ujar Brain Cipher.
"Serangan kami tidak melibatkan isu politik, dan murni merupakan ransomware yang meminta tebusan seperti biasanya," imbuh Brain Cipher.
Dalam pengumuman itu, Brain Cipher juga turut meminta maaf kepada semua rakyat Indonesia untuk kegaduhan yang mereka buat.
"Kami meminta maaf kepada publik atas semua yang terjadi, dan kami juga meminta publik paham bahwa keputusan ini kami buat secara independen, tidak dipengaruhi oleh siapa pun," kata Brain Cipher.
Di bagian akhir, Brain Cipher membuat donasi terbuka untuk menerima sumbangan yang bisa diberikan melalui mata uang kripto Monero.
Kemudian, mereka menegaskan kembali akan membuktikan janjinya untuk memberikan kunci data PDNS rabu besok secara gratis. Perihal kunci untuk membuka data PDNS yang bakal diberikan Brain Chiper, kami telah menghubungi pihak Kominfo dan Kemenko Polhukam sejak pagi tadi, Selasa (2/7/2024).
Namun, keduanya belum memberikan tanggapan. Sementara itu, tak banyak informasi profil Brain Chiper yang ditampilkan dalam laman atau platform, yang dipakai untuk membagikan pengumuman itu. Brain Chiper hanya mengatakan laman dibuat untuk mengumumkan perusahaan atau lembaga yang terkena serangan.
Selain itu, dalam laman tersebut, Brain Chiper juga mencantumkan beberapa aturan terkait pembayaran tebusan. Misalnya, Brain Chiper membuat ketentuan apabila pembayaran tebusan dilakukan melalui platform blockchain menggunakan mata uang kripto Monero.
Kemudian, korban juga tidak boleh melibatkan pihak ketiga atau otoritas keamanan seperti FBI, CSI, NSA, dan lainnya. Jika melanggar syarat yang diminta, Brain Chiper bakal menghentikan negosiasi dan memublikasikan data korban ke website mereka.
Saat negosiasi berjalan dengan baik, Brain Cipher menjamin seluruh informasi yang diunggah bakal dihapus dari server mereka.
Semua postingan, website, dan laman untuk menunjukkan data bocor juga dijamin akan dihapus. Negosiasi dilakukan melalui chat di laman dark web milik Brain Cipher. Setiap korban akan diberi ID unik terenkripsi untuk mengakses layanan chat itu. Jika kesusahan mengakses chat, Brain Cipher menyediakan alamat e-mail anonim “[email protected]”.
Pemerintah sempat tolak bayar tebusan Rp 131 miliar Sebelum membuat kunci ini menjadi gratis, Brain Chiper sempat meminta tebusan ke pemerintah sebesar 8 miliar dollar AS (sekitar Rp 131 miliar) untuk membuka data PDNS yang terenkripsi ransomware.
Namun, pemerintah dengan tegas menolak untuk membayar tebusan itu. Data di PDNS yang terkunci pun tak bisa dipulihkan. Pemerintah hanya mengisolasi PDNS agar data di dalamnya tidak dapat diakses peretas.
Direktur Jenderal Informasi dan Komunikasi Publik Kemenkominfo Usman Kansong menjelaskan, data yang tak bisa dipulihkan akibat serangan ransomware hanya dibiarkan di server PDNS dan aksesnya diisolasi.
“Ya pemerintah kan enggak mau menebus, sudah dinyatakan tidak akan memenuhi tuntutan Rp 131 miliar,” kata Usman Kansong pada Rabu (26/6/2024).
“Iya dibiarkan saja di dalam, sudah kita isolasi. Jadi enggak bisa diapa-apain. Enggak bisa diambil oleh dia (peretas) juga,” ungkap Usman.
Pihak pemerintah yang terdiri dari Kemenkominfo dan BSSN sempat dimintai pertanggungjawaban terkait data PDNS yang tidak bisa dipulihkan karena ransomware, oleh Komisi I DPR RI dalam rapat kerja yang diselenggarakan pada 27 Juni 2024.
Sebagai informasi, infrastruktur PDNS yang terserang ransomware adalah PDNS di Surabaya atau PDNS 2.
Berdasarkan penuturan Kepala BSSN Hinsa Siburian dalam rapat kerja bersama Komisi I DPR RI pada 27 Juni lalu, data di PDNS 2 Surabaya yang terkena ransomware hanya memiliki backup sekitar 2 persen Padahal, ada tiga PDNS yang dimiliki pemerintah, yakni PDNS 1 di Serpong, PDNS 2 di Surabaya, dan Cold site di Batam.
Namun, Cold site di Batam hanya memiliki sekitar 2 persen cadangan data dari semua data di PDNS 2 Surabaya yang terkena ransomware.
Kronologi serangan ransomware LockBit 3.0 Brain Cipher ke PDNS Serangan ransomware LockBit 3.0 Brain Cipher tergolong baru. Belum banyak aksi serangan Brain Cipher yang terdokumentasikan.
Menurut Lawrence Abrams, analis malware dan pemilik media BleepingComputer, Brain Cipher diperkirakan baru beroperasi Juni lalu, dengan layanan PDNS Indonesia yang menjadi salah satu korbannya.
Dibanding ransomware LockBit 3.0 biasa, Brain Cipher dijelaskan telah membuat beberapa perubahan kecil pada enkripsi. Salah satunya adalah ransomware Brain Cipher tidak hanya menambahkan ekstensi ke file terenkripsi, tapi Brain Cipher juga mengenkripsi nama file.
Kemudian, Brain Cipher juga akan membuat catatan atau peringatan serangan dengan nama (ekstensi).README.txt. Catatan serangan tersebut setidaknya berisi pesan kondisi serangan yang terjadi, ancaman, dan tautan ke laman layanan chat mereka di dark web.
Dalam melakukan serangan, Abrams mengatakan, operasi Brain Cipher mirip dengan ransomware lainnya. Brain Cipher akan menerobos jaringan komputasi perusahaan atau lembaga dan menyebar secara lateral ke perangkat lain.
Setelah itu, hacker akan mencuri kredensial admin di sistem operasi. Kemudian, mereka akan menyebarkan ransomware ke seluruh jaringan untuk mengunci atau mengenkripsi semua data yang tersimpan.
Namun, sebelum mengenkripsi data, hacker akan mencuri data perusahaan untuk dijadikan sebagai alat memeras korban. Mereka akan mengancam korban jika tebusan tidak dibayar maka data yang dicuri dan dikunci akan dibagikan ke publik.
Sejak gangguan PDNS terjadi, tim dari pihak pemerintah dan pengelola yang terdiri dari dari Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kominfo), Cybercrime Polri, dan Telkom Sigma, telah melakukan investigasi.
Berdasarkan hasil investigasi, menurut keterangan BSSN, serangan ransomware LockBit 3.0 Brain Chiper ke PDNS telah dilancarkan tiga hari sebelum gangguan terjadi, tepatnya pada 17 Juni 2024, pukul 23.15 WIB.
Pada waktu tersebut, ditemukan adanya upaya penonaktifkan fitur keamanan Windows Defender, yang akhirnya memungkinkan serangan bisa beroperasi.
Kemudian, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB. Aktivitas ini seperti melakukan instalasi file malicious, menghapus sistem file penting, dan menonaktifkan service yang sedang berjalan.
Selanjutnya, file yang berkaitan dengan penyimpanan, seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS, mulai dinonaktifkan dan crash. Serangan ini juga mengakibatkan gangguan pelayanan pada 210 instansi pemerintah, baik pusat maupun daerah.
Instansi yang layanannya terdampak antara lain Kementerian Hukum dan HAM (Kemenkumham), Kementerian Koordinator Bidang Kemaritiman dan Investasi (Kemenkomarves), Kementerian PUPR, LKPP, serta Pemerintah Daerah Kediri.
Namun, dari 210 instansi terdampak, gangguan paling parah terjadi pada pelayanan keimigrasian Kemenkumham. Sebab, layanan publik tersebut menjadi salah satu yang paling intens diakses masyarakat. Pada 24 Juni 2024, layanan imigrasi mulai berangsur pulih.
Selain layanan imigrasi, terdapat beberapa layanan lain yang sudah bisa digunakan, antara lain layanan SIKaP Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah, perizinan event Kemenko Marves, dan website Pemerintah Kota Kediri. (R-03)