Serangan ini menyebabkan gangguan signifikan pada berbagai layanan publik, termasuk sistem imigrasi di sejumlah bandara, yang lumpuh sejak tanggal serangan hingga beberapa hari kemudian.
Kronologi Serangan
Tanggal serangan pada 20 Juni 2024. Lokasi yang terkena adalah pusat data sementara di Surabaya. Dampak langsungnya gangguan pada layanan imigrasi di bandara dan beberapa layanan publik lainnya.
Konfirmasi penyebab: Pada 24 Juni 2024, Kepala Badan Siber dan Sandi Negara (BSSN) mengonfirmasi bahwa gangguan tersebut disebabkan oleh serangan
ransomware "Brans Sier".
Pengembangan, Brans Sier adalah varian terbaru dari LockBit 3.0, sebuah
ransomware yang dikenal karena penyebarannya cepat dan kemampuan enkripsinya kuat.
Metode enkripsi: Brans Sier mengenkripsi file dengan algoritma enkripsi yang sangat kuat, membuat data tidak dapat diakses tanpa kunci dekripsi yang hanya dimiliki oleh penyerang.
Permintaan tebusan: Penyerang meminta tebusan sebesar 8 juta dolar AS (sekitar Rp131 miliar) untuk memberikan kunci dekripsi.
Mekanisme Masuk dan Penyebaran Ransomware1. Eksploitasi Kerentanan
Ransomware ini kemungkinan besar memanfaatkan kerentanan yang belum ditambal dalam perangkat lunak atau sistem operasi yang digunakan oleh PDN. Misalnya, kerentanan dalam sistem database atau aplikasi web yang terhubung ke database bisa menjadi pintu masuk.
2. Akses Jaringan Tidak Sah
Penyerang mungkin menggunakan metode
brute force untuk menebak kata sandi atau mencuri kredensial melalui serangan
phishing. Akses yang tidak sah ke jaringan memungkinkan
ransomware untuk menyebar ke
server dan perangkat lain yang terhubung.
3. Phishing dan Social Engineering
Phishing email yang mengandung
malware dapat menginfeksi PC pegawai. Jika PC tersebut terhubung ke jaringan
server, ransomware dapat menyebar dari PC ke
server.
4. Drive Jaringan dan Aplikasi Web
Drive jaringan yang dapat diakses oleh
server yang terinfeksi juga bisa menjadi faktor penyebaran. Aplikasi web yang terhubung dengan
database bisa dieksploitasi melalui kerentanan seperti SQL injection atau
remote file inclusion.
Brans Sier adalah varian
ransomware terbaru yang merupakan pengembangan dari "LockBit 3.0." LockBit sendiri adalah jenis
ransomware yang pertama kali muncul pada tahun 2019 dan telah berkembang melalui beberapa versi, termasuk LockBit 2.0 dan sekarang LockBit 3.0.
Varian terbaru ini, Brans Sier, menunjukkan evolusi dari teknik dan metode yang digunakan oleh
ransomware sebelumnya untuk meningkatkan efektivitas dan dampaknya.
Sejarah LockBit RansomwareLockBit 1.0 (2019): Varian pertama yang menargetkan organisasi dengan mengunci file dan meminta tebusan. LockBit 2.0 (2020): Peningkatan dari varian pertama, termasuk teknik penyebaran yang lebih cepat dan enkripsi yang lebih kuat.
LockBit 3.0 (2022): Dikenal sebagai salah satu
ransomware yang paling cepat menyebar, dengan kemampuan enkripsi file yang sangat canggih dan strategi pemerasan ganda, di mana data dicuri sebelum dienkripsi dan diancam akan dipublikasikan jika tebusan tidak dibayar.
Karakteristik dan Teknik Brans SierSebagai pengembangan dari LockBit 3.0, Brans Sier membawa beberapa fitur dan teknik baru yang meningkatkan kemampuan
ransomware ini untuk menembus dan merusak sistem.
Fitur Utama Brans Sier1. Teknik Penyebaran Canggih
Eksploitasi Kerentanan: Brans Sier menggunakan eksploitasi kerentanan dalam perangkat lunak atau sistem operasi yang belum ditambal. Kerentanan ini bisa termasuk dalam aplikasi web,
database, atau perangkat lunak
server.
Phishing dan Social Engineering: Penyerang menggunakan email
phishing yang tampak sah untuk mengelabui pengguna agar mengklik tautan atau lampiran berbahaya, yang kemudian menginstal
ransomware pada perangkat.
2. Enkripsi Data yang Kuat
Algoritma Enkripsi: Brans Sier menggunakan algoritma enkripsi yang sangat kuat, seperti AES-256 dan RSA-2048, untuk mengunci file korban. Algoritma ini membuat dekripsi tanpa kunci yang tepat hampir tidak mungkin dilakukan.
File Locking: Setiap file yang dienkripsi oleh Brans Sier mendapatkan ekstensi file baru yang unik, menunjukkan bahwa file tersebut telah dikunci oleh
ransomware.
3. Pemerasan Ganda
Data Exfiltration: Sebelum mengenkripsi file, Brans Sier mencuri data penting dari sistem korban. Data ini digunakan sebagai
leverage tambahan untuk memeras korban, mengancam akan mempublikasikan data yang dicuri jika tebusan tidak dibayar.
Publikasi Data: Data yang dicuri dari korban yang menolak membayar tebusan dipublikasikan di situs gelap yang dikelola oleh kelompok penyerang, menambah tekanan pada korban untuk membayar tebusan.
4. Teknik Anti-Forensik dan Anti-Analisis
Obfuscation: Brans Sier menggunakan berbagai teknik
obfuscation untuk menyembunyikan kode berbahaya dari perangkat lunak keamanan dan analisis forensik.
Termination of Security Processes:
Ransomware ini mampu mendeteksi dan menghentikan proses dari perangkat lunak keamanan yang berjalan di sistem korban, mencegah deteksi dan pembersihan
malware.
5. Pemrograman Modular
Modular Structure: Brans Sier memiliki struktur modular yang memungkinkan penyerang untuk menambahkan atau mengubah fungsionalitas dengan mudah. Ini membuat
ransomware lebih fleksibel dan dapat disesuaikan untuk berbagai jenis serangan.
Dynamic Configuration: Konfigurasi
ransomware dapat diperbarui secara dinamis, memungkinkan penyerang untuk mengubah perilaku serangan sesuai dengan lingkungan yang diserang.
Proses Serangan Brans Sier1. Tahap Awal-Infiltrasi
Phishing Email: Korban menerima email phishing yang tampak sah dengan lampiran atau tautan berbahaya.
Eksploitasi Kerentanan: Jika email phishing berhasil, ransomware diinstal melalui eksploitasi kerentanan dalam perangkat lunak atau sistem operasi.
2. Tahap Menengah-Penyebaran
Lateral Movement: Setelah menginfeksi satu perangkat, Brans Sier menyebar ke perangkat lain dalam jaringan melalui
drive jaringan bersama atau kerentanan protokol jaringan.
Persistence:
Ransomware memastikan tetap bertahan di sistem dengan membuat entri startup dan memodifikasi registri sistem.
3. Tahap Akhir-Enkripsi dan Pemerasan
Data Exfiltration: Data penting dicuri dari sistem korban dan dikirim ke
server yang dikendalikan oleh penyerang.
Enkripsi File: Semua file penting di sistem korban dienkripsi, dan korban diberikan pesan tebusan yang menjelaskan bagaimana membayar tebusan untuk mendapatkan kunci dekripsi.
Pemerasan Ganda: Jika tebusan tidak dibayar, penyerang mengancam akan mempublikasikan data yang dicuri.
Langkah-Langkah Umum Pemulihan dari Serangan Brans Sier1. Isolasi Sistem yang Terinfeksi
Segera isolasi perangkat yang terinfeksi dari jaringan untuk mencegah penyebaran lebih lanjut.
2. Identifikasi dan Analisis Forensik
Lakukan analisis forensik untuk mengidentifikasi varian
ransomware dan metode yang digunakan penyerang.
3. Notifikasi Pihak Terkait
Informasikan tim IT, manajemen, dan pihak berwenang tentang serangan tersebut.
4. Pemulihan Data dari Backup
Verifikasi bahwa backup data tidak terinfeksi dan gunakan untuk memulihkan data yang dienkripsi.
5. Pembersihan dan Pembaruan Sistem
Gunakan alat antivirus dan anti-
malware untuk membersihkan sistem dari
ransomware. Pastikan semua perangkat lunak diperbarui dengan patch keamanan terbaru.
Langkah Pencegahan di Masa Depan1. Implementasi ISO 27001
Adopsi standar ISO 27001 untuk memastikan sistem manajemen keamanan informasi yang komprehensif dan berkelanjutan.
2. Peningkatan Keamanan Jaringan
Gunakan firewall, VPN, dan segmentasi jaringan untuk membatasi akses hanya kepada IP yang terpercaya. Terapkan multi-factor authentication (MFA) untuk semua akses jaringan dan akun.
3. Pemantauan dan Audit Berkala
Implementasi pemantauan aktif dan audit keamanan berkala untuk mendeteksi dan merespons ancaman dengan cepat. Melakukan audit keamanan secara menyeluruh pada sistem dan jaringan.
4. Pelatihan dan Kesadaran Pengguna
Berikan pelatihan keamanan informasi secara berkala kepada semua pegawai untuk meningkatkan kesadaran tentang ancaman seperti
phishing. Mengadakan simulasi serangan untuk menguji dan memperkuat kesadaran keamanan pegawai.
5. Manajemen
Backup yang Kuat
Melakukan
backup data secara teratur dan memastikan bahwa
backup disimpan di lokasi yang terisolasi dari jaringan utama. Menguji prosedur pemulihan secara berkala untuk memastikan data dapat dipulihkan dengan cepat dan efektif jika terjadi serangan
ransomware.
Dengan pemahaman yang mendalam tentang Brans Sier dan langkah-langkah keamanan yang tepat, organisasi dapat lebih siap untuk mencegah, mendeteksi, dan memulihkan dari serangan
ransomware yang canggih ini.
Serangan
ransomware pada Pusat Data Nasional Indonesia telah berlangsung selama beberapa hari dan data belum berhasil dipulihkan, ini dapat mengindikasikan beberapa kemungkinan terkait dengan
backup data.
Berikut adalah beberapa poin penting yang bisa diambil dari situasi ini:
Kemungkinan Masalah dengan Backup Data1. Tidak Ada
Backup Data yang Teratur
Deskripsi: Mungkin tidak ada prosedur
backup yang teratur dan rutin diimplementasikan sebelum serangan terjadi.
Indikasi: Data yang dibutuhkan untuk pemulihan tidak tersedia atau hanya tersedia sebagian.
2.
Backup Data Terinfeksi
Deskripsi:
Backup yang dilakukan mungkin juga terinfeksi oleh
ransomware karena tidak ada pemisahan antara sistem utama dan sistem
backup.
Indikasi:
Backup data tidak dapat digunakan untuk pemulihan karena file
backup juga terenkripsi oleh
ransomware.
3.
Backup Data Tidak Lengkap
Deskripsi:
Backup data mungkin tidak mencakup semua file atau sistem yang penting.
Indikasi: Data yang dibutuhkan untuk memulihkan operasi penuh tidak tersedia karena
backup yang tidak lengkap.
4. Prosedur Pemulihan Tidak Efektif
Deskripsi: Mungkin ada masalah dengan prosedur pemulihan data, seperti ketidakmampuan untuk mengakses atau menggunakan
backup yang ada.
Indikasi: Meskipun
backup data ada, proses pemulihan tidak berjalan lancar atau memakan waktu lebih lama dari yang diharapkan.
4. Keterbatasan Infrastruktur
BackupDeskripsi: Infrastruktur backup yang ada mungkin tidak memadai untuk menangani skala data yang dibutuhkan untuk pemulihan cepat.
Indikasi: Pemulihan data memakan waktu lama karena keterbatasan kapasitas atau kecepatan sistem
backup.
5. Serangan Menargetkan Sistem
BackupDeskripsi: Penyerang mungkin secara khusus menargetkan dan mengenkripsi sistem backup sebagai bagian dari serangan.
Indikasi: Sistem backup yang seharusnya melindungi data dari serangan ransomware juga terpengaruh, membuat pemulihan menjadi lebih sulit.
Dampak dari Masalah BackupJika tidak ada
backup data yang dapat digunakan, dampaknya bisa sangat signifikan.
Pertama,
downtime yang berkepanjangan. Operasional layanan publik dan sistem penting lainnya akan terhenti hingga data dapat dipulihkan atau dibangun kembali.
Kedua, kerugian finansial. Biaya yang terkait dengan
downtime, pemulihan data, dan perbaikan sistem bisa sangat besar.
Ketiga, kerusakan reputasi. Kepercayaan publik dan pemangku kepentingan dapat terganggu karena ketidakmampuan untuk memulihkan layanan dengan cepat.
Keempat, kehilangan data permanen. Beberapa data mungkin hilang secara permanen jika tidak ada
backup yang dapat digunakan.
Kita tentu hanya bisa membahas teknis, yang urusan tidak teknis tidak dibahas di tulisan ini, pemerintah wajib tidak membayar tebusan yang diminta pengirim
ransomware karena ini menyalahi aturan.
*Pakar IT Kecerdasan Buatan Universitas Airlangga Surabaya
BERITA TERKAIT: