Mengenal Ransomware LockBit 3.0 Brain Cipher yang Serang PDNS dan Minta Tebusan Rp 130 Miliar

KOMPAS.com - Pemerintah telah mengonfirmasi bahwa gangguan yang terjadi di server PDNS (Pusat Data Nasional Sementara) diakibatkan karena serangan peretas menggunakan ransomware LockBit 3.0 varian baru bernama Brain Cipher.

Serangan Ransomware LockBit 3.0 Brain Cipher ke PDNS itu diketahui setelah tim BSSN, Kementerian Komunikasi dan Informatika (Kominfo), dan Cybercrime Polri melakukan investigasi, setelah gangguan terjadi pada Kamis pekan lalu (20/6/2024).

Sebagai informasi, PDN (Pusat Data Nasional) merupakan merupakan fasilitas untuk menempatkan sistem elektronik dan komponen lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data, serta pemulihan data.

PDN saat ini masih dalam proses pembangunan. Sementara dalam proses pembangunan, Kominfo menyelenggarakan layanan PDN Sementara atau PDNS yang dapat digunakan oleh semua instansi pemerintah.

Server PDNS itulah yang diserang ransomware LockBit 3.0. Sejak insiden gangguan server PDNS terjadi, Kepala BSSN Hinsa Siburian mengatakan telah berkoordinasi dengan berbagai pihak untuk melakukan investigasi.

Berdasar hasil investigasi yang dilakukan, BSSN menemukan jika sumber serangan berasal dari ransomware Brain Cipher. Hinsa menjelaskan lebih lanjut jika ransomware tersebut merupakan varian baru dan pengembangan dari ransomware LockBit 3.0.

“Ransomware ini (ransomware Brain Cipher) adalah pengembangan terbaru dari ransomware lockbit 3.0. Sampel ransomware selanjutnya akan dilakukan analisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya,” kata Hinsa dalam siaran pers Kominfo, Selasa (25/06/2024).

Dari serangan yang dilakukan ke PDNS, Menteri Kominfo Budi Arie mengatakan peretas meminta tebusan sebanyak 8 juta dollar AS (sekitar Rp 130 miliar).

Serangan ransomware sejatinya bukan hal yang baru di Indonesia. Namun, serangan ransomware jenis LockBit 3.0 Brain Cipher ke PDNS bisa dikategorikan sebagai gangguan yang cukup signifikan karena menyerang sistem pemerintah.

Selain itu, upaya pemulihannya juga memakan waktu berhari-hari, ditambah angka tebusan yang cukup fantastis. Dengan adanya insiden ini, lantas apa itu ransomware LockBit 3.0 Brain Cipher yang serang PDNS dan meminta tebusan Rp 130 miliar.

Apa itu ransomware LockBit 3.0 brain Cipher?

Sebagaimana sempat disinggung di atas, ransomware telah melakukan beberapa aksi penyerangan di Indonesia. Jika diingat kembali, pada 2017, ransomware sempat membuat geger karena menginveksi perangkat pengguna di Tanah Air secara masif.

Ransomware telah mengalami banyak perkembangan. Untuk diketahui, ransomware merupakan perangkat lunak berbahaya atau malicious software (malware) yang dapat menyerang perangkat dengan mengunci (mengenkripsi) data atau file di dalamnya.

Ransomware memiliki banyak jenis. Ransomware yang menyerang Indonesia pada 2017 adalah WannaCry. Kemudian, ada pula jenis ransomware LockBit yang dilaporkan baru-baru ini telah membuat gangguan server PDNS.

Untuk ransomware LockBit, jenisnya juga bermacam-macam dan terus berkembang. Adapun jenis ransomware LockBit yang terbaru adalah LockBit 3.0. Jenis LockBit ini diduga pernah membuat gangguan di sistem BSI (Bank Syariah Indonesia) pada Mei tahun lalu.

LockBit 3.0 adalah ransomware penerus generasi “LockBit” sebelumnya, yaitu LockBit dan LockBit 2.0. Saat awal kemunculannya, LockBit dikenal juga dengan “ABCD” Ransomware atau “.abcd virus”.

LockBit pertama muncul pada 2019. Kala itu, LockBit disebut sebagai “.abcd virus” karena nama tersebut mengacu pada nama ekstensi file yang digunakan untuk mengunci atau mengenskripsi file korban.

LockBit memiliki spesialiasi untuk menyerang perangkat-perangkat pada organisasi, perusahaan, dan lembaga pemerintah. LockBit telah menyerang organisasi di berbagai negara, termasuk Indonesia.

Tujuan penyerangan LockBit tak lain tak bukan adalah untuk mendapatkan uang dengan meminta tebusan kepada target atau korban. Saat data di perangkat korban berhasil dikunci, penyerang yang memakai LockBit bakal meminta sejumlah tebusan.

Jika korban membayarnya, penyerang atau peretas bakal memberikan kode untuk mendekripsi (membuka kunci) pada data-data yang terkunci di sistem komputer. Dalam melakukan penyerangan, peretas tidak bekerja sendirian.

Dikutip dari Makeuseof, LockBit beroperasi dalam bentuk Ransomware as a Service (RaaS), yang mana peretas dan pengembang LockBit saling bekerja sama. Peretas membayar akses ke jenis ransomware tertentu yang dibuat ke pengembang.

LockBit terus berkembang hingga kini. Setelah generasi pertama muncul pada 2019, munculah LockBit 2.0 pada 2021. Ransomware LockBit 2.0 tidak hanya melakukan enkripsi file pada perangkat korban, tetapi juga dapat mentransfernya ke perangkat lain.

Dengan model penyerangan seperti itu, LockBit 2.0 menjadi Ransomware yang lebih menakutkan dari generasi sebelumnya. Setelah LockBit 2.0, munculah LockBit 3.0.

Ransomware LockBit 3.0 muncul pertama kali pada sekitar pertengahan 2022. LockBit 3.0 juga dapat mengenkripsi dan mengekstraksi semua file di perangkat korban, sehingga penyerang dapat “menyandera” data korban sampai uang tebusan dibayar.

Setelah itu, seperti yang ditemukan BSSN, LockBit 3.0 sekarang telah berkembang dan punya varian baru bernama Brain Cipher. Ransomware LockBit 3.0 Brain Cipher tergolong sebagai virus baru.

Belum banyak perusahaan atau lembaga keamanan siber yang menemukan kasus serangan ransomware LockBit 3.0 Brain Cipher.

Dikutip dari laman resmi Broadcom, perusahaan penyedia layanan digital dan keamanan siber, ransomware LockBit 3.0 Brain Cipher adalah ransomware dari jenis LockBit yang bisa mencuri data di perangkat.

Setelah dicuri, data bakal dikunci untuk meminta tebusan. Kelompok peretas ransomware LockBit 3.0 Brain Cipher memberikan ID enkripsi pada korban untuk dipakai berkomunikasi dengan mereka di situs dark web Onion.

Saat ini, metode penyerangan jenis ransomware itu belum bisa diketahui secara pasti. Namun, kemungkinan mereka akan menyerang dengan phising, mengeksploitasi kerentanan dalam aplikasi publik, atau menyusupi pengaturan Remote Desktop Protocol (RDP).

Kronologi serangan ransomware LockBit 3.0 di PDNS

Sebagai informasi, upaya penyerangan ke server PDNS tidak dilakukan dalam waktu dekat. BSSN menemukan fakta bahwa serangan telah dilancarkan tiga hari sebelum gangguan terjadi, tepatnya pada 17 Juni 2024, pukul 23.15 WIB.

Pada waktu tersebut, ditemukan adanya upaya penonaktifkan fitur keamanan Windows Defender, yang akhirnya memungkinkan serangan bisa beroperasi.

Kemudian, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB. Aktivitas ini seperti melakukan instalasi file malicious, menghapus sistem file penting, dan menonaktifkan service yang sedang berjalan.

Selanjutnya, file yang berkaitan dengan penyimpanan, seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS, mulai dinonaktifkan dan crash. Serangan ini menimbulkan gangguan di sejumlah sistem instansi yang menggunakan server PDNS.

Dampak serangan dan upaya pemulihannya

Kominfo mengungkapkan serangan LockBit 3.0 Brain Cipher mengakibatkan gangguan pada total 210 instansi pemerintah.

Dari data yang terdampak itu ada 210 instansi yang berdampak dari baik itu pusat maupun daerah,” ujar Direktur Jenderal Aplikasi Informatika Kominfo Semuel Abrijani Pangerapan, dikutip dari Kompas.com, Selasa (25/6/2024).

Samuel mengatakan, adapun instansi yang terdampak serangan ini antara lain, seperti Kementerian Hukum dan HAM (Kemenkumham), Kementerian Koordinator Bidang Kemaritiman dan Investasi (Kemenkomarves), Kementerian PUPR, LKPP, hingga Pemerintah Daerah Kediri.

Dari semua instansi terdampak itu, dampak yang paling signifikan terjadi pada sistem pelayanan imigrasi dari Kemenkumham. Sebab, layanan imigrasi merupakan sistem yang intens dipakai pengguna.

“Kerugian yang masih bisa kita lihat adalah layanan publik terganggu, ada 210 tadi rinciannya, banyak sekali. Tapi yang paling berdampak adalah layanan imigrasi, karena itu langsung pada masyarakat,” kata Semuel.

Setelah total sekitar 4 hari terkena serangan ransomware LockBit 3.0 Brain Cipher, Semuel mengatakan beberapa layanan pemerintah yang terganggu seperti layanan imigrasi sudah berangsur pulih.

Selain layanan imigrasi, terdapat beberapa layanan lain yang sudah bisa digunakan, antara lain layanan SIKaP Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah, perizinan event Kemenko Marves, dan website Pemerintah Kota Kediri.

Lebih lanjut, Semuel menjelaskan, tim telah melakukan upaya isolasi terhadap sistem yang terdampak serangan siber untuk mencegah penyebaran malware ke sistem lain. Kemudian, proses investigasi dan forensik pada sistem terdampak tengah dilakukan.

"Ini namanya juga varian baru, kita juga berkoordinasi dengan berbagai organisasi, baik dalam maupun luar negeri mengenai serangan ransomware ini," pungkasnya.

Dapatkan update berita teknologi dan gadget pilihan setiap hari. Mari bergabung di Kanal WhatsApp KompasTekno. Caranya klik link https://whatsapp.com/channel/0029VaCVYKk89ine5YSjZh1a. Anda harus install aplikasi WhatsApp terlebih dulu di ponsel.