Mengenal Windows Defender, "Pintu" Awal Serangan Ransomware ke PDNS

KOMPAS.com - Ransomware kembali menghantui keamanan siber di Tanah Air. Program yang dapat mengekstraksi dan mengenkripsi (mengunci) data pada komputer pengguna itu menyerang server PDNS (Pusat Data Nasional Sementara) 2.

Dari serangan yang dilakukan, Windows Defender menjadi celah awal terjadinya peretasan PDNS yang penting untuk sistem elektronik instansi pemerintah. Sebagai informasi, PDNS merupakan bagian dari PDN (Pusat Data Nasional).

Fungsinya untuk menjadi pusat penempatan, penyimpanan dan pengolahan data, serta pemulihan data dari semua sistem elektronik, layanan, atau aplikasi milik instansi pemerintah, baik pemerintah pusat maupun daerah.

Untuk diketahui, pemerintah memiliki beberapa PDNS. Serangan terjadi di PDNS 2 yang berada di Surabaya dan dikelola oleh Telkom Sigma.

Serangan ransomware ke PDNS ini mengakibatkan total 210 layanan instansi pemerintah mengalami gangguan, termasuk layanan dari Kemenkumham, Kemenkomarves, Kementerian PUPR, LKPP, hingga Pemerintah Daerah Kediri.

Gangguan layanan akibat serangan ransomware itu terjadi sekitar empat hari, dimulai dari Kamis pekan lalu (20/6/2024) hingga Senin kemarin (24/6/2024).

Sejak gangguan terjadi, tim dari pihak pemerintah dan pengelola yang terdiri dari Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kominfo), Cybercrime Polri, dan Telkom Sigma, telah melakukan investigasi.

Dari hasil investigasi yang dilakukan, Kepala BSSN Hinsa Siburian mengonfirmasi, gangguan PDNS disebabkan karena serangan ransomware berjenis LockBit 3.0 varian baru yang bernama Brain Chiper.

Hinsa juga menerangkan jika upaya penyerangan server PDNS oleh ransomware LockBit 3.0 Brain Chiper telah dilakukan beberapa tiga hari sebelum gangguan terjadi, tepatnya pada 17 Juni 2024, pukul 23.15 WIB.

Pada waktu tersebut, ditemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang digunakan pada server PDNS. Upaya ini akhirnya memungkinkan serangan ransomware LockBit 3.0 Brain Chiper bisa beroperasi.

Kemudian, pada 20 Juni 2024 pukul 00.54 WIB, ditemukan beberapa aktivitas mencurigakan atau malicious di PDNS, seperti melakukan instalasi file malicious, menghapus sistem file penting, dan menonaktifkan service yang sedang berjalan.

Selanjutnya, file yang berkaitan dengan penyimpanan, seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS, mulai dinonaktifkan dan crash. Windows Defender menjadi gerbang awal serangan ini. Lantas, apa itu Windows Defender?

Apa itu Windows Defender?

Windows Defender adalah program atau aplikasi antivirus bawaan yang tersedia di berbagai sistem operasi Windows, termasuk Windows 10, Windows 11, dan Windows Server. Windows Defender dikembangkan Microsoft sejak 2006.

Windows Defender memiliki kemampuan utama untuk mengamankan komputer dari virus, malware, atau aktivitas yang dapat membahayakan pengguna. Windows Defender menyediakan deteksi anomali pada komputer.

Windows Defender mampu mendeteksi adanya keanehan dari sebuah program berbahaya atau malware yang tidak sesuai dengan pola keamanan tertentu. Dengan deteksi ini, Windows Defender dapat memblokir kemungkinan gangguan dari malware.

Microsoft mengeklaim Windows Defender mampu menghalau hampir semua jenis malware pada pandangan pertama. Windows Defender bisa melakukan pemindaian secara offline dan online.

Sistem keamanan Microsoft Intelligent Security Graph di Windows Defender bakal aktif membaca kondisi anomali pada komputer. Jika terdapat aktivitas, aplikasi, situs web, file, yang berbahaya, Windows Defender bisa membacanya dan memperingatkan pengguna.

Pengoperasian Windows Defender secara umum terbagi menjadi tiga mode, yakni mode aktif, mode pasif, dan mode nonaktif.

Pada mode aktif, Windows Defender akan dijadikan sebagai program antivirus utama. Dalam mode ini, Windows Defender akan memindai dan mendeteksi file atau ancaman. Kemudian, ancaman akan diatasi dan dijadikan laporan.

Kemudian, pada mode pasif, Windows Defender tidak dijadikan sebagai program antivirus utama. Dalam mode ini, file akan dipindai dan ancaman yang terdeteksi akan dilaporkan. Namun, ancaman tidak diatasi oleh Windows Defender.

Setela itu, pada mode nonaktif, Windows Defender sama sekali tidak akan bekerja. Windows Defender tidak akan memindai file dan mendeteksi ancaman, serta membuat laporannya. Microsoft tidak menyarankan pengguna untuk menonaktifkan Windows Defender.

Windows Defender yang memiliki fitur keamanan itu nyatanya bisa jadi celah awal serangan ransomware LockBit 3.0 Brain Chiper. Sebagai program antivirus, lantas sebenarnya seberapa aman Windows Defender?

Seberapa aman Windows Defender?

Windows Defender sejatinya dapat memberikan keamanan yang baik pada komputer pengguna, setidaknya begitu dari hasil tes yang dilaporkan AV Test, lembaga independen keamanan teknologi informasi.

AV Test sempat melakukan pengetesan keamanan Windows Defender dan menunjukkan hasilnya. Pada tes yang dilakukan dalam rentang November hingga Desember 2023, laporan AV Test menunjukkan Windows Defender memiliki keamanan yang baik.

Tes dilakukan pada Windows Defender untuk segmen pengguna biasa. Dalam laporan tersebut, terdapat serangkaian tes yang dilakukan, salah satunya untuk urusan keamanan adalah tes perlindungan dari serangan berbagai malware, seperti virus, worms, dan trojan.

Dari hasil tes yang dilakukan, Windows Defender memiliki nilai sempurna dalam memberikan perlindungan terhadap serangan malware yang baru akan beroperasi, termasuk ancaman yang datang web dan email.

Kemudian, Windows Defender juga dinilai sangat cakap dengan mendeteksi penyebaran malware yang lazim ditemukan dalam empat minggu terakhir. Dari tes perlindungan ini, Windows Defender mendapat skor 6 dari maksimal 6.

Hasil tes dari AV Test ini menunjukkan Windows Defender memiliki sistem keamanan yang baik. Akan tetapi, percobaan lain dengan malware lain menghasilkan laporan yang berbeda terkait keamanan Windows Defender.

Windows Defender masih bisa diterobos ransomware LockBit

One Sentinel, perusahaan global penyedia layanan keamanan siber, sempat melakukan pengujian keamanan Windows Defender terhadap ransomware LockBit. Pengujian dilakukan pada 2022 karena perusahaan menemukan masifnya penggunaan ransomware LockBit 3.0.

Pengujian dilakukan dengan mensimulasikan serangan lewat Windows Defender untuk memuat Cobalt Strike, program pengujian yang memiliki efek serupa seperti LockBit dengan dapat mengambil alih akses sistem komputer.

Dalam pengujian itu, penyerangan dimulai dengan mengeksploitasi kerentanan pada server terlebih dahulu. Setelah kerentanan dieksploitasi, serangan dilakukan dengan memuat Cobalt Strike, sehingga nantinya memungkinkan untuk mengambil akses dan mengunci file.

Cobalt Strike bisa dimuat karena memanfaatkan kerentanan pada prompt line atau baris perintah yang sah untuk mengakses Windows Defender, yakni MpCmdRun.exe. Saat Cobalt Strike berhasil dimuat, akses sistem komputer pun dikuasai.

Ransomware terus mengalami perkembangan. Pengembang atau operator dari ransomware LockBit juga akan terus mengeksplorasi dan mengeksploitasi alat-alat baru yang bisa membantu aksi peretasan mereka dan menghindari sistem keamanan komputer.

Dari pengujian yang dilakukan One Sentinel, Windows Defender masih memungkinkan untuk diterobos ransomware LockBit. Microsoft sendiri secara tidak langsung mengamini jika antivirusnya masih memungkinkan untuk dilewati ransomware.

Dalam situs resminya, Microsoft memaparkan langkah lanjutan jika pengguna terkena serangan ransomware.

Dalam laman dukungan resmi Microsoft, disebutkan bahwa pengguna mungkin tidak menyadari perangkatnya telah disusupi ransomware, sampai melihat adanya pemberitahuan, baik di jendela, aplikasi, atau pesan layar penuh, yang meminta pengguna untuk membayar sejumlah uang agar bisa mengakses file atau perangkatnya kembali.

Microsoft juga mengimbau pengguna agar tidak membayar uang yang diminta hacker untuk memulihkan file. Sebab, tidak ada jaminan akses akan dipulihkan setelah pembayaran dilakukan.

Pemulihan PDNS

Untuk diketahui, ransomware beroperasi dengan mengunci data pada komputer pengguna. Data yang dikunci itu bakal dijadikan peretas untuk meminta tebusan ke korban. Peretas mengiming-imingi memberikan kunci untuk membuka data jika tebusan diberikan.

Dalam kasus serangan ransomware LockBit 3.0 Brain Chiper ke PDNS, peretas juga meminta tebusan untuk membuka data yang terkunci. Adapun tebusan yang diminta sebesar 8 miliar dollar AS (sekitar Rp 131 miliar).

Setelah diserang beberapa hari, Direktur Jenderal Aplikasi Informatika Kominfo Semuel Abrijani Pangerapan mengatakan, layanan instansi pemerintah dalam PDNS yang sempat terganggu berangsur pulih, seperti layanan imigrasi.

Selain layanan imigrasi, terdapat beberapa layanan lain yang sudah bisa digunakan, antara lain layanan SIKaP Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah, perizinan event Kemenko Marves, dan website Pemerintah Kota Kediri.

Hingga kini, pihak pemerintah dan pengelola terus melakukan upaya pemulihan. Namun, Herlan Wijanarko selaku Direktur Network & IT Solution PT Telkom mengatakan, data yang terkunci tidak dapat dipulihkan.

"Sejak kejadian sampai dengan hari ini, kami diasistensi oleh BSSN dan kerja sama dengan semua yang terkait, Kominfo, para tenant, Bareskrim. Kami berupaya keras melakukan pemulihan (recovery) dengan sumber daya (resource) yang kami miliki," kata Herlan.

"Yang jelas, data yang sudah kena ransomware ini sudah tidak bisa kami pulihkan," imbuh Herlan dikutip KompasTekno dari YouTube resmi Kementerian Kominfo, pada Rabu sore (26/6/2024).

Menurut Herlan, hasil audit sementara yang dilakukan tim BSSN menunjukkan bahwa kondisi data tersebut dienkripsi, tetapi di tempat, yakni di PNDS 2 Surabaya.

Akses PDN tersebut sudah diputus agar ransomware tidak menular. "Sekarang sistem PDNS itu sudah kami isolasi, tidak ada yang bisa mengakses. Kita putus akses dari luar. Insya Allah (data yang dienkripsi) tidak bisa disalahgunakan," kata Herlan.

Herlan mengatakan bahwa timnya mengidentifikasi tenant yang memiliki backup data di Surabaya dan di Batam.

"Kira-kira jumlahnya 44 tenant, kita masukkan tahap pertama pemulihan (recovery stage). Jadi kita kontak, kemudian kita klarifikasi dengan para tenant dan mulai diupayakan untuk kita aktifkan layanannya, tentu melalui medium temporer. Kita punya dua medium temporer di PDN 1 dan di satu media lain yang kita siapkan," ungkap Herlan.

"Kemudian kita juga sudah mengontak seluruh tenant yang terdampak di PDNS 2. Kita kontak satu persatu, kerja sama dengan tim Kominfo untuk memastikan apakah tenant ini memiliki backup di lokal atau tidak, termasuk situasi layanannya," lanjut Herlan.

Hasilnya, ada beberapa tenant yang memiliki backup tetapi ada juga yang tidak memiliki backup atau belum bisa diverifikasi. Jika tidak ada backup, Herlan mengatakan akan masuk ke tahap kedua.

"Kita akan mengulang (repeat), kita siapkan lingkungan baru sebagai pengganti PDNS 2 yang sudah dikunci. Kita atur (setup) ulang, kita perkuat (hardening), dan kita implementasikan semua aspek sekuriti, baru nanti kita akan bangun ulang di lingkungan yang baru," kata Herlan.