Badan Siber dan Sandi Negara (BSSN) mengungkap kronologi serangan ransomware ke Pusat Data Nasional Sementara (PDNS) 2 yang terjadi pekan lalu.
Juru bicara BSSN Ariandi Putra menjelaskan, berdasarkan Hasil Analis Forensik Sementara, ditemukan adanya upaya penonaktifan fitur keamanan Windows Defender mulai 17 Juni 2024 pukul 23.15 WIB.
Upaya itu disebut memungkinkan masuknya aktivitas berbahaya (malicious) yang kemudian berlanjut pada 20 Juni 2024, hari yang sama dengan laporan awal gangguan layanan keimigrasian di sejumlah bandara internasional, termasuk Bandara Soekarno-Hatta.
"Aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus file system penting, dan menonaktifkan service yang sedang berjalan. Diketahui tanggal 20 Juni 2024, pukul 00.55 Windows Defender mengalami crash dan tidak bisa beroperasi," jelasnya.
Windows Defender merupakan software antivirus untuk consumer, bawaan dari Windows yang tersedia gratis di perangkat berbasis Windows 10 dan 11. Aplikasi ini berfungsi untuk melindungi perangkat dari serangan virus dan malware.
Ariandi mengatakan, saat ini proses investigasi masih dilakukan secara menyeluruh, setelah sumber serangan teridentifikasi.
"Akan dilakukan analisis lebih lanjut terhadap sampel ransomware dengan melibatkan entitas keamanan siber lainnya. Hal ini menjadi penting untuk lesson learned dan upaya mitigasi agar insiden serupa tidak terjadi lagi," kata Ariandi dalam keterangan resmi Kementerian Komunikasi dan Informatika (Kominfo), Rabu (26/6/2024).
Sementara itu, pemulihan sistem layanan yang terdampak pelumpuhan PDNS akibat serangan ransomware, masih dilakukan oleh Kominfo bersama BSSN, Telkom Sigma, dan beberapa Kementerian serta lembaga pengguna PDNS 2.
Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel A. Pangerapan mengatakan, proses pemulihan jangka pendek dilakukan dengan mengembalikan layanan di DRC Sementara dengan menggunakan data backup PDNS 1 dan PDNS 2.
"Hingga hari ini (25/6/2024), terdapat 3 layanan yang sudah berangsur pulih yaitu layanan keimigrasian, layanan perizinan event Kemenkomarves dan layanan LKPP,” jelas pria yang akrab disapa Semmy itu.
Ia menambahkan, upaya pemulihan terus dilakukan untuk 282 tenant PDNS 2.
Dalam keterangan resmi yang sama, Direktur Network & IT Solution PT Telkom Indonesia Tbk Herlan Wijanarko menjelaskan bahwa layanan PDNS didukung dua Data Center yang berada di Tangerang dan Surabaya serta satu DRC yang bersifat cold backup di Batam.
“Setelah terjadi gangguan di PDNS 2 Surabaya akibat serangan Ransomware Brain Cipher, terdapat 282 tenant yang terdampak. Proses recovery jangka pendek dilakukan dengan mengembalikan layanan di DRC Sementara di Tangerang dengan menggunakan data backup yang tersedia,” jelasnya.
Herlan menambahkan, dalam jangka menengah, Telkom Sigma dan Lintas Arta akan segera melakukan pemulihan PDNS 2 secepatnya bersamaan dengan proses forensik yang terus berjalan.
“Untuk jangka panjang akan dilakukan dengan normalisasi arsitektur keseluruhan setelah PDNS 2 kembali berfungsi,” ungkapnya.
Serangan ransomware Lockbit 3.0
Diberitakan sebelumnya, BSSN telah mengungkap bahwa gangguan yang terjadi di server PDNS diakibatkan oleh serangan ransomware Lockbit 3.0 varian baru bernama Brain Chiper.
“Ransomware ini (ransomware Brain Chiper) adalah pengembangan terbaru dari ransomware lockbit 3.0. Sampel ransomware selanjutnya akan dilakukan analisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya,” kata Kepala BSSN, Hinsa Siburian dalam siaran pers Kominfo, Selasa (25/06/2024).
Dari serangan yang dilakukan ke PDNS, Menteri Kominfo Budi Arie mengatakan peretas meminta tebusan sebanyak 8 juta dollar AS (sekitar Rp 130 miliar).
Serangan ini juga menyebabkan gangguan pelayanan pada 210 instansi pemerintah, baik pusat maupun daerah.
Instansi yang layanannya terdampak antara lain Kementerian Hukum dan HAM (Kemenkumham), Kementerian Koordinator Bidang Kemaritiman dan Investasi (Kemenkomarves), Kementerian PUPR, LKPP, hingga Pemerintah Daerah Kediri.
Namun, dari 210 instansi terdampak, gangguan paling parah terjadi pada pelayanan keimigrasian Kemenkumham. Sebab, layanan publik tersebut menjadi salah satu yang paling intens diakses masyarakat.
Windows Defender
Sedikit membahas soal Windows Defender yang menjadi celah awal serangan PDNS. Aplikasi ini berjalan di latar belakang PC berbasis Windows untuk melindungi perangkat dari serangan malware.
Bulan Desember 2023 lalu, perusahaan laboratorium keamanan independen, AV-Test menyebut bahwa sebagai software gratis, Windows Defender menawarkan kemampuan yang cukup baik untuk melindungi perangkat.
Windows Defender meraih skor sempurna (100 persen) untuk perlindungan terhadap serangan malware zero-day attack. Nilai tersebut di atas rata-rata industri yang hanya mencapai 97 persen.
Windows Defender juga mendapat nilai sempurna untuk mendeteksi penyebaran malware yang meluas, sebagaimana dirangkum dari Giz China, Rabu (26/6/2024).
Kendati demikian, Windows Defender dinilai memberikan keamanan dasar yang hanya mampu menghalau serangan "sederhana".
Sementara itu, untuk lingkup seperti perlindungan pusat data yang lebih tersentral, sensitif, dan berharga, sering kali dibutuhkan solusi keamanan level bisnis yang lebih canggih dan kompleks.
Sebab, informasi sensitif yang tersimpan di pusat data merupakan target peretasan dan ancaman siber lain.
Adapun beberapa software yang biasa digunakan untuk pusat data seperti, Cisco ACI, FortiGate NGFW, HashiCorp Vault, McAfee Data Center Security Suite for Databases, dan sebagainya.