Pakar Ungkap, Dua Ransomware yang Serang PDNS 2

Serangan siber terus menjadi ancaman serius di dunia digital, dan kali ini Pusat Data Nasional Sementara (PDNS) 2 menjadi korbannya. Serangan ini melibatkan dua jenis ransomware yang berbeda, yaitu LockBit dan Babuk, yang ditujukan untuk sistem operasi Windows dan hypervisor ESXI.

Menurut Yohanes Nugroho, seorang programmer yang berhasil melakukan reverse engineering terhadap ransomware tersebut, PDNS 2 diserang oleh LockBit untuk Windows dan Babuk untuk ESXI. Yohanes mengungkapkan bahwa kedua ransomware tersebut berasal dari satu kelompok yang sama, yaitu Brain Cipher. 

"Supaya jelas: kedua ransomware ini dari satu group (Brain Cipher). Windows diserang dengan LockBit, dan VM di ESXI diserang dengan Babuk. Kedua malware ini buildernya udah dibocorkan di internet sejak beberapa tahun lalu," ungkapnya lewat postingan di X/Twitter dan dikutip dari detikINET, Kamis (4/7/2024).

Pihak Brain Cipher sendiri telah merilis kunci untuk membuka enkripsi ransomware Babuk yang menyerang ESXI. Namun, kunci dekripsi untuk ransomware LockBit yang menyerang Windows belum diberikan. Yohanes menyatakan bahwa saat ini ia sedang meminta kunci LockBit dari pembuat ransomware tersebut dan berharap dapat diberikan.

"Sekarang lagi minta key Lockbitnya sama yang bikin ransomwarenya. Semoga dikasih," tambahnya.

Melalui postingan blog di compactbyte, Yohanes menjelaskan lebih lanjut mengenai temuannya. Ransomware LockBit yang menyerang Windows menggunakan enkripsi Salsa20, sedangkan ransomware Babuk yang menyerang server ESXI menggunakan enkripsi SOSEMANUK. ESXI sendiri adalah sebuah hypervisor, yaitu perangkat lunak untuk menjalankan Virtual Machine (VM). 

"ESXI ini adalah sebuah Hypervisor, alias software untuk menjalankan Virtual Machine. Jadi ternyata bukan cuma Windows yang kena, tapi ESXI-nya. Kedua ransomware tersebut buildernya sudah bocor di internet sejak lama. Untuk yang Babuk, source codenya juga bocor jadi bisa dimodifikasi, bisa mudah dipasangi backdoor," tulis Yohanes di blognya.

Namun, Yohanes mempertanyakan mengapa ransomware Babuk tidak pernah disinggung oleh Badan Siber dan Sandi Negara (BSSN) dalam indicators of compromise (IOC) yang mereka rilis. Menurutnya, pihak BSSN maupun Kementerian Komunikasi dan Informatika (Kominfo) pasti mengetahui bahwa ESXI juga terkena ransomware.

"BSSN/Kominfo mungkin tidak menemukan enkriptornya karena sudah dihapus oleh penyerang, tapi pasti menemukan ransom note-nya. Saya tidak tahu seperti apa isinya, apakah sama dengan versi LockBit di Windows, atau beda lagi," tulis Yohanes.

Dalam perkembangan lebih lanjut, Yohanes menyampaikan bahwa menurut pembuat malware, kunci untuk ransomware LockBit tidak perlu diberikan karena kunci ESXI sudah cukup untuk memulihkan data di PDNS 2. 

"Key-nya LockBit tidak diberikan, rekan saya Joshua Sinambela ahli forensik digital sudah bertanya ke pembuat malwarenya, katanya nggak perlu dikasih, seharusnya kunci ESXI sudah cukup buat restore semuanya," jelas Yohanes.

Serangan ransomware seperti ini menunjukkan betapa rentannya sistem digital kita terhadap serangan siber yang semakin canggih. Kejadian ini juga menekankan pentingnya upaya preventif dan reaktif yang efektif dalam melindungi data dan infrastruktur digital kita. Bagi BSSN dan Kominfo, kejadian ini seharusnya menjadi pelajaran untuk meningkatkan kewaspadaan dan transparansi dalam menginformasikan ancaman yang ada kepada publik. 

Selain itu, upaya kolaboratif antara ahli keamanan siber dan institusi terkait sangat diperlukan untuk mengatasi dan memitigasi dampak dari serangan ransomware di masa mendatang. Kesadaran dan kesiapsiagaan adalah kunci utama dalam menghadapi ancaman siber yang terus berkembang.