Mengenal LockBit 3.0 yang Lumpuhkan PDNS dan Cara Kerjanya

Kepala Badan Siber dan Sandi Negara (BSSN), Hinsa Siburian, mengungkapkan bahwa pihaknya berhasil menemukan sumber serangan yang mengganggu Pusat Data Nasional Sementara (PDNS) sejak Kamis, 20 Juni 2024. Berdasarkan investigasi yang dilakukan, serangan tersebut berasal dari file ransomware dengan nama Brain Cipher Ransomware. Ransomware ini merupakan pengembangan terbaru dari LockBit 3.0.

Dalam keterangan pers di Kantor Kementerian Komunikasi dan Informatika, Senin (24/06/2024) Hinsa menjelaskan, "Hasil identifikasi kami atas kendala yang terjadi pada Pusat Data Nasional Sementara adalah akibat serangan siber berjenis ransomware." Serangan ini berdampak signifikan, mengganggu beberapa layanan publik termasuk layanan imigrasi.

Direktur Network dan IT Solutions Telkom, Herlan Wirjanako, mengungkapkan bahwa ransomware Brain Cipher ini telah mengunci data di PDNS dan meminta tebusan sebesar 8 juta dollar AS (sekitar Rp131,2 miliar). "Di dark web (situs gelap) itu ada jalur yang kita ikuti, mereka (penyebar ransomware) meminta tebusan sebesar 8 juta dollar AS," jelas Herlan.

Apa Itu Ransomware LockBit 3.0?

LockBit 3.0 adalah versi lanjutan dari ransomware LockBit yang terkenal dengan teknik enkripsi canggih dan serangan yang ditargetkan. Ransomware ini dirancang untuk menyusup ke sistem komputer dan mengenkripsi berbagai file berharga, membuat file tersebut tidak bisa diakses kecuali korban membayar uang tebusan yang diminta oleh peretas.

Skema Bisnis Ransomware LockBit 3.0

Komunitas keamanan siber Cyberity baru-baru ini mengungkapkan modus operandi dari ransomware Lockbit 3.0 yang diduga menyerang Pusat Data Nasional Sementara (PDNS) sejak 20 Juni lalu. Ketua Cyberity, Arif Kurniawan, menjelaskan bahwa LockBit merupakan perusahaan yang menjalankan model bisnis Ransomware as a Service (RaaS) yang berbasis di Rusia. Dengan afiliasi yang tersebar di seluruh dunia, LockBit telah menjadi ancaman global.

"Pengembang LockBit, Dmitry Yuryevich Khoroshev, saat ini menjadi buronan polisi internasional. Dmitry berhasil melarikan diri dari Operasi Cronos, operasi gabungan penegak hukum dari berbagai negara yang berlangsung dari awal 2023 hingga Mei 2024," ujar Arif dalam keterangan resminya pada Sabtu (29/6).

Arif menambahkan bahwa LockBit adalah salah satu perusahaan kriminal siber yang unik karena mereka tidak menyerang Rusia. Hal ini menimbulkan spekulasi bahwa Dinas Keamanan Rusia mungkin memiliki keterlibatan dalam eksistensi LockBit. Sejak Juni 2021 hingga Januari 2022, korban serangan LockBit terbanyak berasal dari Amerika Serikat, India, dan Brasil, dengan sektor kesehatan dan pendidikan sebagai target utama.

Bagaimana Cara Kerja Ransomware yang Lumpuhkan Pusat Data Nasional RI ?

Ransomware telah menjadi ancaman besar dalam dunia keamanan siber, baik di Indonesia maupun secara global. Serangan ransomware yang semakin marak menargetkan pemerintah dan akademisi, termasuk serangan terhadap Pusat Data Nasional Sementara (PDNS) 2 di Surabaya.

Ransomware adalah jenis malware berbahaya yang digunakan peretas untuk mengunci akses ke data korban dan meminta uang tebusan untuk pemulihannya. Di Indonesia, ransomware tidak hanya menginfeksi komputer, tetapi juga perangkat seluler dan Internet of Things (IoT).

"Ini menunjukkan bahwa seluruh ekosistem digital kita rentan. Bahkan negara-negara maju seperti Inggris, yang memiliki lembaga siber kuat dan barisan akademisi ahli, tidak kebal terhadap serangan ransomware," ungkap Asisten Profesor dan Koordinator Program Magister Keamanan Siber Monash University Indonesia, Erza Aminanto, dalam keterangan tertulis yang dikutip Jumat (28/6/2024).

Cara Ransomware Menyerang

1. Melalui Phishing: Serangan sering kali dimulai melalui email atau pesan yang terlihat sah. Korban diminta mengklik tautan atau membuka lampiran yang sebenarnya berisi malware.
2. Eksploitasi Celah Keamanan: Para penjahat siber memanfaatkan celah keamanan pada perangkat atau perangkat lunak yang belum diperbarui untuk menyusup dan mengenkripsi data.
3. Perangkat Lunak Tidak Resmi: Pengunduhan atau penggunaan perangkat lunak yang tidak sah atau tidak resmi, terutama dari sumber yang tidak tepercaya, dapat membuka pintu bagi malware.

LockBit adalah salah satu 'geng' ransomware yang paling aktif dan berbahaya di dunia selama tiga tahun terakhir. Menurut data dari firma keamanan siber Trend Micro, selama kuartal pertama 2024, sindikat yang terafiliasi dengan LockBit menjadi pelaku serangan ransomware paling berhasil, dengan jumlah serangan sukses pada 217 korban.

Cara Kerja Virus Ransomware

1. Infeksi dan Penyebaran: Ransomware dapat menyebar melalui berbagai cara, termasuk lampiran email berbahaya, tautan yang meragukan, situs web yang terinfeksi, atau eksploitasi kerentanan dalam perangkat dan perangkat lunak. Setelah perangkat terinfeksi, ransomware mulai bekerja.
2. Enkripsi Data: Ransomware akan memindai file di perangkat dan mengenkripsi data yang berharga dengan menggunakan algoritma enkripsi yang kuat. File yang dienkripsi akan memiliki ekstensi yang berbeda atau tambahan yang mengindikasikan bahwa file tersebut tidak dapat diakses.
3. Tampilan Pesan Tebusan: Setelah berhasil mengenkripsi data, ransomware akan menampilkan pesan tebusan kepada pengguna. Pesan ini berisi instruksi tentang cara membayar tebusan dan mendapatkan kunci dekripsi untuk memulihkan akses ke data yang terenkripsi. Biasanya, pesan tebusan ini menampilkan batas waktu dan ancaman untuk menghapus data jika tebusan tidak dibayar.
4. Pembayaran Tebusan: Penyerang meminta pembayaran tebusan dalam bentuk mata uang digital seperti Bitcoin atau Ethereum. Metode pembayaran ini memungkinkan para penyerang untuk menjaga anonimitas mereka, membuat pelacakan dan pelacakan aktivitas mereka sulit dilakukan.
5. Pemulihan Data: Jika tebusan dibayar, penyerang akan memberikan kunci dekripsi kepada pengguna untuk memulihkan akses ke data yang terenkripsi. Namun, tidak ada jaminan bahwa data akan dikembalikan sepenuhnya atau bahwa penyerang tidak akan kembali menyerang.

Penanganan Jika Diserang Ransomware

Ada beberapa strategi yang dapat diterapkan jika terjadi serangan ransomware.

1. Semua data penting harus dicadangkan secara teratur dan disimpan di lokasi terpisah untuk meminimalkan kehilangan data. Cadangan data tersebut harus dienkripsi dan diuji secara rutin untuk memastikan pemulihannya berfungsi segera setelah dibutuhkan.
2. Penting untuk memperkenalkan redundansi sebagai upaya mengurangi risiko kegagalan sistem secara keseluruhan. Redundansi dapat mencakup perangkat keras ganda, penyimpanan awan (cloud), atau server cadangan yang siap beroperasi jika sistem utama gagal.
3. Membangun Pusat Pemulihan Data (data recovery center) yang dapat segera beroperasi jika sistem utama mengalami gangguan. Fasilitas ini harus memiliki infrastruktur yang setara atau lebih baik dari sistem utama demi memastikan kelancaran operasionalnya.

Langkah-langkah selanjutnya mencakup upaya peningkatan kepatuhan terhadap aturan dan kode etik, serta penerapan sanksi tegas untuk memastikan semua entitas mengikuti standar keamanan yang ditetapkan. Penting juga untuk menggelar pelatihan berkala tentang ancaman dan metode identifikasi serangan siber kepada para petugas terkait, yang merupakan garda terdepan dalam menangani ransomware melalui phishing atau bentuk-bentuk serangan sejenis lainnya.

"Kita dapat meminimalisir dampak kerusakan yang dipicu oleh serangan ransomware melalui identifikasi aktivitas siber yang cepat dan efektif, yakni dengan menggunakan alat pantau jaringan dan sistem deteksi intrusi," kata Erza.

Langkah pencegahan lainnya dapat dilakukan dengan menggunakan perangkat lunak antivirus dan anti-malware yang diperbarui pada semua perangkat endpoint, termasuk komputer, laptop, ponsel pintar, dan perangkat IoT. Terakhir, penting untuk mengenkripsi data yang dikirim dan disimpan agar informasi sensitif terlindungi dari risiko akses ilegal. Data yang dienkripsi tidak bisa dibaca oleh peretas meskipun mereka berhasil mencurinya.

Menerapkan seluruh langkah keamanan di atas tidaklah mudah, karena diperlukan investasi besar dalam infrastruktur, teknologi, dan sumber daya manusia. Di sisi lain, ancaman ransomware terus berkembang, dan para peretas selalu mencari cara baru untuk menembus pertahanan. Karena itu, pendekatan proaktif, adaptif, dan kolaboratif sangat penting dilakukan sejak dini.