Krisis Ransomware, Apa itu LockBit?

ransomware

Ketapang – infoketapang. Terenkripsinya data di pusat data nasional (PDN) hingga permintaan tebusan Rp. 131 Milyar menambah tingginya frekuensi ‘kebocoran’ data di Indonesia. Kasus sebelumnya setidaknya ada beberapa kasus yang terjadi pada Januari 2022 kebocoran data Bank Indonesia di Bengkulu, kebocoran data pasien rumah sakit Covid-19 pada januari 2022, data pelamar kerja di PT Pertamina Training and Consulting pada januari 2022, data 21.000 perusahaan Indonesia pada Agustus 2022, data 17 juta Pelanggan PLN, data 26 juta riwayat pengguna indihome, data 252 Gb pelanggan Jasa Marga Toll-Road Operator, data 1,3 miliar data registrasi kartu SIM card, data 91 juga pengguna aplikasi e-commerce Tokopedia tahun 2020, 13 juga data akun Bukalapak tahun 2020.

Terganggunya PDN mengalami gangguan sejak 20 juni lalu. Gangguan itu mengakibatkan layanan digital Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia tidak berfungsi. Layanan Penerimaan Peserta Didik Baru (PPDB) di daerah mengalami gangguan, sehingga pemerintah daerah memperpanjang waktu pendaftaran.

Mengutip dari tempo.com, menurut Hinsa Siburian, Kepala Badan Siber dan Sandi Negara (BSSN), server PDN terkena serangan ransomware yang mengakibatkan data penting terkunci dan tidak dapat diakses. “Insiden pusat data sementara ini adalah serangan siber dalam bentuk ransomware dengan nama Brain Cipher Ransomware,” katanya di Kantor Kementerian Kominfo, Jakarta Pusat, Senin, 24 Juni 2024.

Brain Cipher Ransomware adalah keturunan dari LockBit 3.0. Brain Cipher ini tidak sepenuhnya baru. Ini adalah varian dari ransomware LockBit 3.0 yang terkenal, perusahaan kriminal global yang bertanggung jawab atas banyak serangan cyber. LockBit telah mendapatkan reputasi karena kekejamannya, menargetkan segala sesuatu mulai dari institusi perawatan kesehatan hingga lembaga pemerintah. Ia dikenal karena taktik agresifnya dan penggunaan “pemerasan ganda,” di mana mereka tidak hanya mengenkripsi data tetapi juga mengancam untuk membocorkannya secara publik jika uang tebusan tidak dibayarkan.

Terkait dengan Lockbit, pada bulan Februari 2024 kemarin, pemerintah Amerika dan Inggris telah melakukan siaran pers dan memberitakan bahwa mereka Divisi Cyber Badan Kejahatan nasional Inggris bekerja sama dengan departeman Kehakiman, Biro Investigasi Federal (FBI) dan mitra penegak hukum internasional lainnya telah menyita banyak situs web yang digunakan oleh LockBit untuk terhubung ke infrastruktur pemerintahan dan merebut kendali server pemerintahan.

Menurut situs resmi Departemen Kehakiman Amerika Serikat, justice.gov, Amerika dan Inggris telah mendakwa lima anggota LockBit atas partisipasi mereka dalam konspirasi LockBit.

LockBit adalah salah satu varian ransomware yang sangat merusak yang pertama kali muncul sekitar Januari 2020. Menurut situs resmi pemerintah Amerika Serikat lockbitvictims.ic3.gov, LockBit diluncurkan pada Januari 2020 dengan versi yang dikenal sebagai LockBit 1.0, tetapi sejak itu merilis versi tambahan yang terdiri dari LockBit 2.0 (LockBit Red), LockBit 3.0 (LockBit Black), LockBit Linux/ESXI, LockBit Green dan sedang mengembangkan LockBit 4.0.

Anggota dari grup LockBit telah sukses melakukan serangan terhadap lebih dari 2.000 korban di Amerika Serikat dan global, menghasilkan lebih dari $120 juta dalam tebusan.

LockBit beroperasi dalam model yang disebut “ransomware-as-a-service” (RaaS). Dalam model ini, seorang pengembang merancang ransomware dan memelihara sebuah panel kontrol online. Pengembang ini kemudian merekrut individu lain, yang disebut afiliasi, untuk menyebarkan ransomware tersebut. Afiliasi dapat melakukan ini dengan mencari sistem komputer yang rentan, baik dengan melakukan peretasan sendiri atau membeli kredensial akses dari pihak lain.

Setelah mendapatkan akses, afiliasi menggunakan panel kontrol yang disediakan oleh pengembang untuk menyebarkan LockBit ke dalam sistem korban. LockBit kemudian mengenkripsi data di dalam sistem tersebut dan meminta tebusan untuk mendekripsi data tersebut. Jika tebusan tidak dibayar, sering kali data yang dienkripsi akan dipublikasikan di situs web publik yang dikelola oleh pengembang LockBit, yang dikenal sebagai situs kebocoran data.

Dengan cara yang lebih sederhana, LockBit bekerja seperti jaringan kejahatan digital dimana pengembang merancang alat yang memungkinkan anggotanya (afiliasi) untuk menyebarkan ransomware ke sistem komputer yang rentan. Mereka kemudian memaksa korban untuk membayar tebusan agar bisa mendapatkan kunci untuk mendekripsi data mereka atau untuk mencegah data mereka dipublikasikan secara publik.

Penyerangan ransomware dapat terjadi pada sistem informasi pemerintahan dengan beberapa kemungkinan, secara umum kemungkinan adanya celah dapat dimanfaatkan oleh penyerang.

  1. Phishing dan spear phishing. Metode paling umum dimana penyerang mengirimkan email palsu seolah-olah dari sumber terpercaya kepada karyawan/pegawai, misal atas nama pimpinan atau lembaga formal lain. Email ini berisi lampiran file executif atau dokumen yang mengandung skrip yang mengandung perintah mengunduh dan menjalankan ransomware jika diaktifkan.
  2. Eksploitasi vulnerablities. Eksploitasi kerentanan dimana penyerang dapat memanfaatkan kerentanan sistem operasi, perangkat lunak atau aplikasi yang tidak diperbaharui, misal modul atau library yang tidak diperbaharui, atau di Kantor menggunakan windows ‘crack-crakan’ yang jelas ada kerentanan yang tidak mungkin update ke sumber legal. Atau bisa terjadi pemerintah membeli aplikasi, sementara aplikasi tersebut lama kelamaan seiring waktu, modulnya deprecated (usang) dan vendor tidak melakukan pembaharuan modul. Biasanya modul-modul populer ini selalu diperbaharui/diperbaiki bug atau diperbaharui karena perubahan teknologi sehingga celah kerentanan secara berkala oleh pemelihara modul tersebut juga diperbaiki.
  3. Remote Desktop Protocal Attacks. Memasuki langsung akses jaringan dengan menebak kata sandi dengan berbagai teknik seperti teknik brute, kata sandi yang sederhana misalnya tanggal lahir, NIK pegawai, dan kata sandi yang sangat berkaitan dengan pekerjaan pegawai, atau kata sandi dengan nama daerah pemerintahan, dan lainnya, dapat diketahui akhirnya penyerang dapat menguasai sistem secara remote melalui terminal.
  4. Pembajakan situs web. Ini terjadi dimana penyerang membajak situs pemerintah dan menyusupi malware untuk menyalurkan ransomware kepada pengunjung yang tidak curiga, pegawai yang menggunakan web tersebut tanpa ada kecurigaan.
  5. Drive by Download Attacks, dimana penyerang menggunakan website menyimpan ransomware, saat pengunjung mendownload atau mengakses web tersebut maka ransomware terbawa ke device pengunjung dan aktif. Misal, di saat bersamaan aplikasi pemerintahan digunakan, user juga mengunjungi situs judi online yang banyak tombol-tombol iklan, atau nonton film gratis, atau diam-diam nonton web ‘blue’, dan lainnya. Saat itu pegawai tidak tau mana yang harus diclick atau click ‘sembarangan’ yang sebenarnya ada code yang didownload dan bisa langsung aktif.
  6. USB atau perangkat penyimpanan lainnya. Penyerang dapat menyimpan skrip code di fleshdisk pegawai, atau flesdisk yang pernah dipakai di komputer pihak lain, misal percetakan atau rental komputer, atau lainnya tanpa pengamanan. Saat di dalam fleshdish tersebut tanpa disadari mengandung code berbahaya, loading pertama saat dimasukkan ke USB dan langsung aktif tanpa perlu ada click, bisa terjadi ransomware masuk ke device pegawai atau kantor.
  7. Kemungkinan lain yang terus berkembang, karena kecanggihan teknologi yang dikuasai oleh para penyerang dan tidak diantisipasi oleh pemerintah. Dengan perkembangan fiture bahasa pemprograman memungkinkan membuat ransomware semakin canggih dan saat sistem operasi tidak diupdate sangat memungkinkan menambah kerentanan.

Dari sisi frontend penyerangan ransomware pemerintah dapat dilakukan dengan memanfaatkan device pegawai sebagai pengguna aplikasi dan prilaku pengguna. Human error dari sisi frontend pada pegawai ini dapat memungkinkan ransomware masuk ke sisi server, dari sisi server sendiri sudah ada keamanan namun bisa saja masih ada kerentanan, dan pada akhirnya penyerang dapat menguasai server, mengenkripsi data-data penting.

Laptop yang sudah mengandung script berbahaya digunakan berbarengan saat login atau masuk menggunakan aplikasi pemerintahan dapat menambah kerentanan. Walaupun menggunakan laptop kantor yang dianggap bersih dari script berbahaya, bukan laptop pribadi, kerentanan tetap bisa terjadi oleh karena itu penting untuk melakukan backup data yang ditempatkan terpisah dari sistem itu, misalnya backup ke pihak ke tiga misal cloud hosting yang aman atau device lain. Semakin banyak backup maka semakin baik.

Perubahaan-perusahaan cyber security biasanya merilis jenis ransomware yang telah mampu didekripsinya, misal Emsisoft merilis berhasil mendekripsi ransomware ‘WannaCry’, Kaspersky Lab mengeluarkan tool dekriptor ransomware ‘CoinVault, TelaCrypt’, dan lainnya. Avast untuk jenis ransomware ‘STOP/Djvu’, dan banyak perusahaan lain. Namun, untuk melakukan dekripsi jenis-jenis ransomware terbaru, perusahaan-perusahaan tersebut memerlukan waktu dan penelitian terlebih dahulu sehingga belum tentu ransomware yang masuk ke sistem pemerintahan dapat diatasi oleh perusahaan cyber secara cepat, bahkan mungkin bisa saja tidak bisa.

Selain itu menurut situs resmi departemen kehakiman Amerika Serikat, NCA, bekerja sama dengan FBI dan mitra penegak hukum internasional, telah mengembangkan kemampuan dekripsi yang memungkinkan ratusan korban di seluruh dunia untuk memulihkan sistem yang dienkripsi menggunakan varian ransomware LockBit. Korban yang ditargetkan oleh lockbit di Amerika Serikat didorong untuk menghubungi pemerintahannya di https://lockbitvictims.ic3.gov/, untuk memungkinkan penegak hukum menentukan apakah sistem yang terpengaruh dapat berhasil didekripsi. Walaupun belum tahu pasti jenis varian lockbit yang mana yang telah berhasil didekripsi. (Dr.N).