Analisa Peretasan Data Nasional

Oleh: Soegianto, Fakultas Sain dan Teknologi UNAIR

 

Badan Siber dan Sandi Negara (BSSN) telah memperingatkan berbagai kementerian terkait ancaman peretasan baru bernama Brand Chiper ransomware. Peringatan ini didasarkan pada serangan serupa di negara lain dan riset dari MIT yang menunjukkan bahwa keamanan siber Indonesia berada di peringkat ke-20 dengan skor hanya 3,4. Meski peringatan telah disampaikan, data di Pusat Data Nasional Sementara (PDNS) di Surabaya tetap menjadi target serangan pada 20 Juni lalu.

Peretasan ini memunculkan pertanyaan besar tentang kelalaian atau kecerobohan dalam pengelolaan data dan keamanan digital di Indonesia. Pemerintah dituding tidak segera bertindak meski mendapat peringatan. Serangan tersebut berdampak pada layanan publik, termasuk imigrasi yang harus beralih ke sistem manual akibat data yang terkunci.

Pada 21 Juni, pemerintah menerima permintaan tebusan sebesar 8 juta dolar AS dari para peretas, yang kemudian dikonfirmasi oleh berbagai narasumber di bidang IT dan pejabat terkait. Data yang terenkripsi oleh ransomware ini sangat vital, termasuk data imigrasi dan arsip pemerintah daerah. Meskipun ada opsi untuk membayar tebusan, pemerintah memutuskan untuk tidak melakukannya karena tidak ada jaminan bahwa data akan dipulihkan sepenuhnya tanpa adanya risiko malware tambahan.

Pemerintah telah berupaya memulihkan sistem dengan mendatangkan pakar teknologi dari luar negeri, namun Brand Chiper ransomware yang digunakan dikenal sangat sulit dipecahkan. Koordinasi antara Kominfo dan BSSN juga menjadi sorotan, di mana kedua lembaga ini sering tidak sejalan dalam menangani keamanan data nasional. Sebelumnya, BSSN tidak dilibatkan dalam rapat-rapat penting, memperlihatkan kurangnya kolaborasi yang efektif.

Selain itu, penelitian dari MIT menunjukkan bahwa Indonesia berada di posisi terbawah dalam indeks keamanan siber di antara 20 negara dengan ekonomi terbesar. Faktor-faktor seperti infrastruktur, sumber daya manusia, dan kebijakan pemerintah yang lemah turut berkontribusi pada lemahnya keamanan siber Indonesia.

Pusat Data Nasional Sementara (PDNS) yang saat ini dikelola oleh Telkom Sigma di Surabaya, sebelumnya oleh Lintas Arta, juga menghadapi kritik karena tidak memiliki backup data yang memadai. Pusat data ini seharusnya memiliki backup di Batam, namun hanya menyimpan data selama 40 hari. Kontrak yang tidak mewajibkan backup data juga menjadi salah satu alasan lemahnya sistem ini.

Masyarakat yang datanya mungkin terdampak oleh peretasan ini termasuk pengguna layanan imigrasi dan berbagai layanan publik lainnya. Pemerintah diharapkan untuk segera mengatasi dampak peretasan ini dan memperbaiki koordinasi antar lembaga untuk meningkatkan keamanan siber di masa depan.

Pemerintah diminta untuk lebih transparan dan bertanggung jawab atas insiden ini, termasuk memberikan informasi yang jelas kepada publik mengenai status data mereka. Diharapkan juga bahwa undang-undang Perlindungan Data Pribadi yang telah disahkan segera dilengkapi dengan peraturan teknis agar bisa diimplementasikan dengan efektif. Tanpa langkah nyata ini, insiden serupa mungkin akan terus terulang, menempatkan data pribadi warga negara dalam risiko yang terus meningkat.

Bagaimana Ransomware Menyerang
Brand Chiper ransomware menyebar melalui metode phishing yang menargetkan individu dalam sistem pemerintahan. Dengan menggunakan email phishing, peretas mengelabui pengguna untuk mengklik tautan atau lampiran yang tampak resmi namun berbahaya. Begitu diklik, ransomware ini langsung menginfeksi komputer pengguna dan mulai menyebar ke seluruh jaringan, mengenkripsi data di setiap perangkat yang terhubung.

Dampak Serangan
Serangan ini tidak hanya menginfeksi PDNS, tetapi juga lebih dari 200 instansi pemerintahan pusat dan daerah di Indonesia. Layanan penting seperti imigrasi terganggu, menyebabkan proses manual yang memperlambat pelayanan publik. Data yang terenkripsi termasuk informasi sensitif dan kritis, membuat instansi yang terkena dampak tidak dapat mengakses data mereka tanpa membayar tebusan yang diminta.

Bagaimana Hacker Jarak Jauh Menyerang?

Phishing dan Email Berbahaya: Serangan dimulai dengan pengiriman email phishing kepada pegawai pemerintah. Email ini mengandung tautan atau lampiran yang tampak resmi tetapi sebenarnya berbahaya. Ketika tautan atau lampiran tersebut dibuka, ransomware mulai menginfeksi komputer pengguna.

Infeksi dan Penyebaran Jarak Jauh: Setelah berhasil masuk ke satu komputer, ransomware ini menggunakan alat dan teknik canggih untuk menyebar ke seluruh jaringan dari jarak jauh. Hal ini memungkinkan peretas untuk mengakses dan mengenkripsi data di berbagai perangkat yang terhubung tanpa perlu berada di lokasi fisik yang sama.

Pengendalian Jarak Jauh: Peretas dapat memantau dan mengendalikan ransomware secara jarak jauh, mengatur proses enkripsi, dan mengirim pesan tebusan melalui jaringan yang sudah terinfeksi. Mereka juga dapat memanfaatkan alat komunikasi seperti Tor untuk menjaga anonimitas mereka.

Dampak dan Kerusakan yang Ditimbulkan

Serangan ransomware ini menyebabkan gangguan besar pada layanan publik, termasuk layanan imigrasi yang harus beralih ke sistem manual. Data sensitif yang dienkripsi mencakup informasi penting yang tidak bisa diakses tanpa membayar tebusan yang diminta, yaitu sebesar 8 juta dolar AS.

Menurut laporan, peretas berhasil menembus lebih dari 200 sistem pemerintahan dan daerah, menyebabkan kerugian besar dan menyoroti kelemahan signifikan dalam keamanan siber Indonesia.

Metode dan Teknik yang Digunakan
Pemanfaatan Phishing:
Pengiriman email phishing yang berisi malware adalah langkah awal yang memungkinkan peretas untuk mendapatkan akses ke dalam jaringan.

Penggunaan Ransomware-as-a-Service (RaaS):
Lockbit 3 adalah bagian dari model Ransomware-as-a-Service, di mana ransomware disediakan kepada afiliasi yang membayar untuk menggunakan perangkat tersebut dalam serangan mereka sendiri. Ini memungkinkan penyebaran serangan yang lebih luas dan lebih cepat.

Penggunaan Tor dan Dark Web:
Peretas menggunakan jaringan Tor untuk berkomunikasi dan mengatur tebusan, menjaga anonimitas mereka dan membuat pelacakan lebih sulit bagi pihak berwenang.

Kasus yang Terdokumentasi
Lockbit ransomware sebelumnya telah menyerang berbagai institusi besar, termasuk Bank Syariah Indonesia (BSI), di mana mereka mencuri 1,5 terabyte data dan menuntut tebusan besar. Dalam kasus PDNS, peretas meminta tebusan sebesar 8 juta dolar AS, mengancam akan mempublikasikan data jika tebusan tidak dibayar.

Kemungkinan Masuknya Ransomware

Kerentanan Sistem:
Banyak sistem pemerintahan yang belum memiliki keamanan siber yang memadai, membuat mereka rentan terhadap serangan.

Kurangnya Kesadaran Keamanan:
Banyak pegawai yang tidak menyadari risiko phishing dan tidak dilatih untuk mengenali email berbahaya.

Infrastruktur Keamanan yang Lemah:
Penggunaan perangkat lunak yang usang dan kurangnya investasi dalam teknologi keamanan terbaru.

Ransomware Brand Chiper ini menyoroti kelemahan signifikan dalam sistem keamanan siber Indonesia, menunjukkan perlunya peningkatan besar dalam infrastruktur dan kesadaran keamanan siber untuk mencegah serangan di masa depan.

Mendeteksi siapa yang pertama kali memasukkan ransomware dan siapa yang memonitornya bisa menjadi tugas yang rumit. Namun, ada beberapa langkah dan metode yang dapat digunakan untuk mengidentifikasi sumber serangan dan aktivitas pemantauan ransomware tersebut:

Langkah untuk Mendeteksi Sumber Ransomware

Analisis Log Sistem dan Jaringan:
Menganalisis log dari sistem dan jaringan untuk mencari aktivitas mencurigakan yang terjadi sebelum dan selama serangan. Ini termasuk aktivitas login yang tidak biasa, transfer data besar, dan pola akses yang tidak biasa.

Forensik Digital:
Melakukan analisis forensik pada perangkat yang terinfeksi untuk mengidentifikasi bagaimana ransomware masuk. Ini melibatkan pemeriksaan file sistem, registry, dan perubahan pada konfigurasi sistem.

Identifikasi Email Phishing:
Melacak email phishing yang mungkin menjadi titik awal masuknya ransomware. Memeriksa email yang diterima oleh pegawai untuk menemukan tautan atau lampiran berbahaya yang mungkin telah dibuka.

Pemantauan Aktivitas Jaringan:
Menggunakan alat pemantauan jaringan untuk mengidentifikasi lalu lintas yang mencurigakan. Ini termasuk komunikasi dengan server perintah dan kontrol (C2) yang digunakan oleh peretas untuk mengendalikan ransomware.

Mendeteksi Pemonitor (Hacker) Ransomware

Deteksi Komunikasi dengan C2:
Memantau komunikasi jaringan untuk mendeteksi koneksi ke server C2 yang digunakan oleh peretas untuk memantau dan mengendalikan ransomware. Ini sering dilakukan melalui jaringan Tor atau protokol lain yang menyembunyikan identitas peretas.

Penggunaan Alat Keamanan dan Intelijen Ancaman:
Menggunakan alat keamanan dan layanan intelijen ancaman untuk mengidentifikasi dan memantau aktivitas ransomware. Layanan ini dapat memberikan informasi tentang pola serangan dan indikator kompromi (IoC) yang terkait dengan ransomware tertentu.

Pemeriksaan Alat Remote Access:
Memeriksa apakah ada alat akses jarak jauh yang tidak sah yang terpasang di sistem. Peretas sering menggunakan alat seperti Remote Desktop Protocol (RDP) atau alat akses jarak jauh lainnya untuk memantau dan mengendalikan ransomware.

Mendeteksi siapa yang pertama kali memasukkan ransomware dan siapa yang memonitornya memerlukan pendekatan multi-lapis yang melibatkan analisis forensik digital, pemantauan jaringan, dan penggunaan alat keamanan yang canggih. Kegiatan ini harus dilakukan oleh tim keamanan siber yang berpengalaman dan dengan dukungan alat dan teknologi terbaru.

EDITOR: REYNA

Related Posts