TEMPO.CO, Jakarta - Empat hari terakhir ini Tim Siaga Badan Siber dan Sandi Negara (BSSN) bekerja ekstra keras mengatasi peretasan pada Pusat Data Nasional Sementara (PDNS). Kepala BSSN Hinsa Siburian mengatakan bahwa peretas diduga menggunakan jenis ransomware atau jenis virus terbaru untuk menyerang server pemerintah yang mengelola secara nasional data kementerian dan lembaga, serta pemerintah daerah tersebut.
“Kami sampaikan bahwa insiden pusat data sementara ini adalah serangan siber dalam bentuk ransomware dengan nama brain cheaper ransomware,” kata Hinsa seusai konferensi per di Kementerian Komunikasi dan Informatikan, Senin, 24 Juni 2024.
Hinsa mengatakan pihaknya dapat mengetahui jenis ransomware itu setelah tim forensik BSSN melihat sejumlah sampel data. “Tentu ini perlu kita ketahui supaya bisa mengantisipasi di tempat kajian yang lain,” kata dia. “Segara kami sampaikan juga kepada instansi ataupun teman-teman yang lain dan sekaligus sebagai lesson learn untuk kita untuk mitigasi kemungkinan bisa terjadi.”.
Disebabkan serangan ransomware
Insiden siber yang menyasar PDNS dipastikan bentuk dari serangan ransomware varian LockBit 3.0. Hinsa mengatakan jenis ransomware ini terus dikembangkan oleh para peretas dan yang menyerang PDN kali ini varian baru yang belum pernah ada di Indonesia sebelumnya.
"Saat ini BSSN, Kominfo, Cybercrime Polri dan Telkom Sigma masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat," ujar Hinsa di Gedung Kominfo.
"Kami sudah mengetahui jenis serangan ini dan menjadi pekerjaan kami untuk kami pecahkan. Laporan terakhir, layanan imigrasi yang terdampak sudah beroperasi dengan normal," jelas Hinsa.
Ihwal ransomware LockBit 3.0, sebenarnya bukan pembahasan yang baru di dunia siber tanah air. Mengutip terbitan Koran Tempo, 17 Mei tahun lalu, mengungkap fakta bahwa kelompok hacker Lock Bit 3.0 mengklaim sudah melakukan serangan siber ransomware ke BSI.
LockBit dikenal sebagai kelompok peretas yang aktif dan berbahaya. LockBit diduga beroperasi di Eropa Timur. Sejumlah perusahaan besar di beberapa negara pernah menjadi korban ransomware mereka, contohnya perusahaan pertahanan besar Prancis, Thales Group.
Serangan terjadi sejak 17 Juni
Juru bicara BSSN Ariandi Putra mengatakan gangguan yang terjadi pada PDNS sudah mulai terjadi sejak 17 Juni lalu. "BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB sehingga memungkinkan aktivitas malicious dapat berjalan," kata Ariandi dalam keterangannya, Senin, 24 Juni 2024.
Ariandi menjelaskan ransomware itu bekerja dengan cara menonaktifkan Windows Defender (sistem keamananan) guna mengizinkan file berbahaya terpasang pada sistem. Selanjutnya, ransomware mulai masuk pada 17 Juni dan aktivitas mencurigakan mulai terdeteksi pada 20 Juni 2024 pukul 00.54.
Aktivitas mencurigakan itu di antaranya mengizinkan file malicious terpasang pada sistem, menghapus file penting, dan mematikan service yang sedang berjalan. File yang berkaitan dengan storage seperti VSS, Hyper V Volume, VirtualDisk dan Veaam vPower NFS mulai dinonaktifkan dan tidak bisa berjalan.
"Tepatnya Windows Defender berhasil dilumpulkan pada tanggal 20 Juni 2024 pukul 00.55 sehingga tidak bisa lagi beroperasi," kata Ariandi.
210 Instansi Terdampak
Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika, Semuel Abrijani Pangerapan, mengatakan serangan siber terhadap server PDNS berdampak pada 210 instansi pusat maupun daerah di Indonesia.
“Saat ini kami melakukan migrasi data-datanya. Harusnya bisa dipercepat apabila ada koordinasi antara tenan dengan penyedia layanannya,” kata Semuel di Kantor Kementerian Kominfo, Jakarta Pusat, Senin, 24 Juni 2024.
Sementara beberapa instansi yang sudah mulai beroperasi diantaranya Ditjen Imigrasi Kemenkumham dan Kementerian Koordinator Bidang Kemaritiman dan Investasi (Marves). “Kota Kediri juga sudah on, yang lainnya lagi dalam proses,” kata Semuel.
Semuel tak menampik serangan siber ke PDN itu merugikan layanan publik. Yang paling berdampak adalah Ditjen Imigrasi, mengingat hal ini langsung berhadapan dengan masyarakat. “Ada 210 tadi, rinciannya banyak sekali. PUPR juga kena dan sedang proses migrasi juga,” ujarnya.
Peretas minta tebusan Rp131 Miliar
Pelaku peretasan disebut meminta uang tebusan sebanyak USD 8 juta atau sekitar Rp 131 miliar dalam kurs Rp 16.399 kepada pemerintah Indonesia. Peretas menyatakan uang itu sebagai tebusan terhadap 210 data yang akan dikembalikan.
"Memang di web itu kami ada jalan ke sana. Biar kami ikuti mereka minta tebusan ada USD 8 juta," kata Direktur Network dan IT Solution Telkom Sigma, Herlan Wijanarko di kantor Kementerian Komunikasi dan Informatika, Jakarta Pusat pada Senin, 24 Juni 2023.
Wakil Menteri Komunikasi, Nezar Patria, mengatakan kemungkinan pelaku berasal dari luar negeri. Nezar belum memastikan apakah pemerintah akan mengikuti permintaan pembayaran USD 8 juta tersebut.
"Belum. Kami lagi konsentrasi untuk mengisolasi data-data yang terdapat," kata dia. Nezar mengatakan untuk saat ini belum ada ancaman soal penghapusan data. "Ini cuma sejumlah data di-enkripsi. Jadi, kami enggak bisa masuk ke sana," ujarnya.
HATTA MUARABAGJA | BAGUS PRIBADI | HALGI MASHALFI | ALIF ILHAM FAJRIADI | EKA YUDHA SAPUTRA | DESTY LUTHFIANI
Pilihan editor: Anatomi Brain Cipher, Ransomware Baru dari Lockbit yang Obrak-abrik Pusat Data Nasional
![Direktur Jenderal (Dirjen) Imigrasi Kementerian Hukum dan Hak Asasi Manusia (Kemenkumham), Silmy Karim, saat menggelar konferensi pers pemulihan layanan imigrasi pascagangguan di Pusat Data Nasional Sementara di Jakarta Selatan, Jumat, 28 Juni 2024 [Tempo/Eka Yudha]](https://statik.tempo.co/data/2024/06/28/id_1314426/1314426_720.jpg)
