Telko.id – Sudah sejak Kamis 20 Juni 2024 lalu, Server Pusat Data Nasional Sementara (PDNS) terserang ransomware LockBit 3.0.
Menurut Kepala Badan Siber dan Sandi Negara (BSSN) Hensa Siburian, sumber serangan yang berasal dari file ransomware dengan nama Brain Cipher Ransomware. Ransomware ini adalah pengembangan terbaru dari ransomware lockbit 3.0.
Akibatnya beberapa layanan publik termasuk layanan imigrasi terkendala. Badan Siber dan Sandi Negara (BSSN) Republik Indonesia mengungkap insiden itu terjadi karena ulah Ransomware.
Pada senin 24 Juni 2024 pun, Herlan Wijanarko, Direktur Network dan IT Solution Telkom Sigma menyebutkan bahwa si peretas meminta tebusan sebesar USD 8 juta atau setara Rp 131 miliar. Dana tersebut sebagai tebusan terhadap 210 data yang akan dikembalikan.
Baca juga : Peretas LockBit Klaim Kantongi 15 Juta Data Nasabah BSI
“Memang di web itu kami ada jalan ke sana. Biar kami ikuti mereka minta tebusan ada USD 8 juta,” kata Direktur Network dan IT Solution Telkom Sigma, Herlan Wijanarko di kantor Kementerian Komunikasi dan Informatika, Jakarta Pusat pada Senin, 24 Juni 2023.
Wakil Menteri Komunikasi, Nezar Patria, mengatakan kemungkinan pelaku berasal dari luar negeri. Nezar belum memastikan apakah pemerintah akan mengikuti permintaan pembayaran USD 8 juta tersebut.
“Belum. Kami lagi konsentrasi untuk mengisolasi data-data yang terdapat,” kata dia.
Nezar mengatakan untuk saat ini belum ada ancaman soal penghapusan data. “Ini cuma sejumlah data di-enkripsi. Jadi, kami enggak bisa masuk ke sana,” ujarnya.
Ransomware merupakan istilah yang mencakup jenis-jenis malware tertentu yang menyerang sistem data. Pelaku biasanya meminta sejumlah uang tebusan dan mengancam membobol atau menghapus data di web yang diretasnya.
Kepala Badan Siber dan Sandi Negara (BSSN) Hensa Siburian mengatakan akan melakukan koordinasi untuk mengamankan data yang menyerang Pusat Data Nasional Sementara (PDNS) tersebut. “Saat ini BSSN, Kominfo, Cybercrime Polri dan Telkom Sigma masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat,” kata dia.
Kronologis Peretasan
Hinsa mengatakan, dari insiden ransomware tersebut, BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas malicious dapat berjalan.
Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus filesystem penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai didisable dan crash.
“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami Crash dan tidak bisa beroperasi,” jelas Hinsa.
Saat ini, sambung Hinsa, BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut.
“BSSN Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta sampai dengan hari ini masih terus melakukan investigasi secara menyeluruh mengacu pada bukti-bukti forensik yang telah didapat. Dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut,” ungkap Hinsa.
Adapun per- hari ini Senin 24 Juni 2024 sejak pukul 07.00 WIB, Layanan Keimigrasian terdampak sudah beroperasi dengan normal. Diantaranya Layanan Visa dan Izin Tinggal, Layanan Tempat Pemeriksaan Imigrasi (TPI), Layanan Paspor, Layanan Visa on Arrival (VOA) on boarding, dan Layanan Manajemen Dokumen Keimigrasian. (Icha)