Tidak berfungsinya Pusat Data Nasional “Sementara” (PDN) selama beberapa hari ini, menyebabkan gangguan besar pada layanan publik, kerugian finansial, dan kerusakan reputasi bagi pemerintah.

Jika benar pernyataan yang disampaikan para pejabat tinggi negara bahwa PDN lumpuh akibat serangan Ransomware Brain Chiper seperti pada tulisan saya sebelumnya, Anda bisa melihatnya seperti ini:

Vertiq aparmennt Penang

Bayangkan PDN Indonesia sebagai sebuah gedung apartemen besar yang berisi banyak kamar. Setiap kamar ini menyimpan informasi penting dari berbagai instansi pemerintah, seperti Kementerian Pendidikan dan Kebudayaan, Kementerian Kesehatan, Kementerian Keuangan, dan banyak lagi. Bahkan, beberapa provinsi, kabupaten, dan kota juga menyimpan data mereka di apartemen ini. Data-data ini sangat penting, seperti informasi beasiswa pendidikan, data kesehatan masyarakat, data keuangan negara, dan izin-izin penting lainnya.

Pada tanggal 20 Juni 2024, seorang pencuri digital bernama “Brain Cipher” berhasil membobol gedung apartemen ini.

Bagaimana Pencuri Digital Ini Masuk?

Pencuri ini sangat pintar dan menggunakan berbagai cara untuk masuk. Mungkin dia menemukan celah di sistem keamanan apartemen, seperti jendela yang tidak terkunci atau pintu yang rusak. Bisa juga dia menyamar sebagai petugas kebersihan atau tamu, sehingga bisa masuk tanpa dicurigai. Setelah masuk, dia mencari cara untuk mematikan alarm keamanan agar aksinya tidak diketahui.

Apa yang Dilakukan Pencuri Digital Ini?

Setelah berhasil masuk, pencuri “Brain Cipher” mulai mengacak-acak kamar-kamar di apartemen PDN. Dia mengunci semua kamar dengan gembok digital yang hanya bisa dibuka dengan kode rahasia yang hanya dia yang tahu. Dia juga merusak beberapa barang di dalam kamar, sehingga informasi yang tersimpan di dalamnya menjadi tidak bisa dibaca. Ini seperti maling yang mengacak-acak isi kantor dan mengunci brankas berisi dokumen penting.

Thief ransomware

Siapa Saja yang Terkena Dampaknya?

Akibatnya, banyak penghuni apartemen PDN tidak bisa mengakses kamar mereka sendiri. Kementerian Agama, Kementerian Pendidikan dan Kebudayaan, Kementerian Kesehatan, Kementerian Keuangan, dan puluhan lembaga lainnya tidak bisa melihat informasi penting yang mereka simpan di sana. Beberapa layanan penting seperti beasiswa pendidikan, perizinan, dan bahkan pelayanan publik penting seperti imigrasi pun terganggu. Anda bisa melihat secara lengkap disini.

Sekarang agak lebih teknis…

Menguak Tabir Serangan Ransomware Brain Cipher

Server pada datacenter PDN yang menyimpan data-data penting Anda, menggunakan VMWare. Serangan ini menjadi peringatan keras bagi seluruh instansi pemerintah dan swasta yang mengandalkan infrastruktur virtual, khususnya berbasis ESXi VMware.

Apa Itu VMware ESXi dan Virtualisasi?

VMware ESXi adalah sebuah sistem operasi virtualisasi yang memungkinkan kita untuk menjalankan beberapa sistem operasi (OS) secara bersamaan pada satu komputer fisik (server). Alih-alih menggunakan satu OS di satu komputer, kita bisa memanfaatkan sumber daya komputer lebih efisien dengan menjalankan beberapa OS yang berbeda dalam “mesin virtual” (VM).

VMware ESXi

Virtualisasi adalah teknologi yang memungkinkan kita untuk membuat beberapa “komputer virtual” di dalam satu komputer fisik. Ini mirip dengan memiliki banyak komputer kecil di dalam satu komputer besar. Setiap komputer virtual ini bisa menjalankan sistem operasi dan aplikasi sendiri, seolah-olah mereka adalah komputer terpisah.

Anda bisa bayangkan virtualisasi ini seperti gedung apartemen besar yang dibuat banyak kamar.

Bagaimana Cara Kerja VMware ESXi?

VMware ESXi itu seperti lapisan tipis perangkat lunak yang dipasang langsung di atas perangkat keras komputermu (server). Lapisan ini bertugas membagi-bagi sumber daya komputer, seperti prosesor, memori, dan penyimpanan, ke dalam beberapa bagian yang lebih kecil. Setiap bagian ini kemudian menjadi “komputer virtual” yang bisa menjalankan sistem operasi dan aplikasi sendiri-sendiri.

Apa keuntungannya?

  1. Hemat biaya. Anda tidak perlu membeli banyak komputer fisik untuk menjalankan berbagai sistem operasi.
  2. Hemat energi. Karena hanya menggunakan satu komputer fisik, konsumsi listrik jadi lebih sedikit.
  3. Mudah dikelola. Anda bisa mengatur semua komputer virtual dari satu tempat.
  4. Fleksibilitas. Anda bisa dengan mudah memindahkan komputer virtual antar server, menambah atau mengurangi sumber daya yang dialokasikan, dan membuat salinan cadangan.

VMWare ESXi banyak digunakan oleh perusahaan-perusahaan yang ingin mengoptimalkan penggunaan sumber daya server mereka. Selain itu, ESXi juga populer di kalangan pengembang perangkat lunak yang membutuhkan lingkungan pengujian yang fleksibel dan mudah diatur.

Analisis Teknis Serangan

Berdasarkan informasi yang dirilis oleh Badan Siber dan Sandi Negara (BSSN), serangan ini melibatkan varian ransomware “Brain Cipher”, sebuah pengembangan dari LockBit 3.0.

Ransomware ini diketahui telah menonaktifkan Windows Defender sebelum melakukan enkripsi terhadap data-data di PDN. Serangan dimulai dengan crash pada Windows Defender pada pukul 00.55 WIB tanggal 20 Juni 2024, yang kemudian membuka celah bagi ransomware untuk masuk dan menyebar.

Meskipun belum ada konfirmasi resmi mengenai vektor serangan awal, ransomware bisa mengambil alih dan mengenkripsi ESXi melalui beberapa cara, biasanya dengan memanfaatkan kelemahan (vulnerability) yang ada pada sistem ESXi, atau layanan yang berjalan di atasnya, bahkan kesalahan konfigurasi.

Berikut beberapa cara kerja yang mungkin:

1. Eksploitasi Kerentanan

  • OpenSLP
    ESXi memiliki service bernama OpenSLP yang digunakan untuk discover jaringan. Kerentanan pada OpenSLP (misalnya CVE-2021-21974) dapat dieksploitasi oleh penyerang untuk mendapatkan akses ke ESXi dan menjalankan ransomware.
  • Kerentanan Lainnya
    Selain OpenSLP, kerentanan lain pada ESXi atau komponen pihak ketiga yang berjalan di atasnya (misalnya driver perangkat keras) juga bisa menjadi pintu masuk bagi ransomware.
  • Zero-Day Exploit
    Ini adalah jenis serangan yang menggunakan kerentanan yang belum diketahui oleh publik atau pengembang perangkat lunak. Serangan ini sangat berbahaya karena tidak ada tambalan yang tersedia untuk mencegahnya.

2. Serangan Brute-Force

Jika akses remote (SSH atau RDP) ke ESXi tidak diamankan dengan kata sandi yang kuat atau otentikasi dua faktor, penyerang bisa mencoba menebak kredensial (username dan password) pengguna ESXi secara terus-menerus. Jika berhasil, mereka mendapatkan akses penuh ke ESXi dan bisa menjalankan ransomware.

3. Phishing atau Social Engineering

Penyerang mungkin menggunakan taktik spear-phishing yang sangat canggih, yaitu mengirimkan email atau pesan palsu yang dirancang khusus untuk menargetkan individu tertentu di PDN. Email ini mungkin berisi informasi pribadi yang meyakinkan, atau tautan ke situs web palsu yang tampak identik dengan situs web resmi, sehingga korban tertipu untuk mengklik tautan atau mengunduh lampiran yang berisi ransomware.

  • Email atau Tautan Berbahaya
    Penyerang bisa mengirim email phishing yang tampak sah kepada administrator ESXi. Email ini mungkin berisi tautan berbahaya yang, jika diklik, akan mengunduh dan menjalankan ransomware di sistem.
  • Manipulasi
    Penyerang bisa mencoba memanipulasi administrator ESXi untuk memberikan informasi login atau melakukan tindakan yang membahayakan keamanan sistem.

4. Backdoor yang Sudah Ada

Terkadang, malware lain seperti trojan atau rootkit mungkin sudah ada di sistem ESXi tanpa diketahui. Malware ini bisa membuka “pintu belakang” (backdoor) bagi ransomware untuk masuk.

5. Akses Melalui Jaringan

Jika ESXi terhubung ke jaringan yang tidak aman, penyerang bisa menyusup ke jaringan tersebut dan mencari celah untuk masuk ke ESXi.

6. Mengakali Supply Chain yang Tak Terdeteksi

Serangan supply chain adalah ancaman yang semakin meningkat, di mana penyerang menyusup ke vendor perangkat lunak atau perangkat keras untuk menginfeksi produk mereka sebelum didistribusikan ke pengguna akhir. Dalam kasus PDN, mungkin saja ransomware telah tertanam dalam pembaruan perangkat lunak atau firmware yang diunduh dari sumber yang tampaknya tepercaya.

Apa Yang Terjadi Selanjutnya?

Setelah mendapatkan akses ke ESXi, ransomware biasanya akan melakukan beberapa hal berikut:

  1. Mematikan Service Keamanan
    Ransomware akan mencoba mematikan atau menonaktifkan service keamanan ESXi (misalnya firewall) untuk menghindari deteksi dan pemblokiran.
  2. Mengenkripsi File Virtual Machine
    Ransomware akan mencari dan mengenkripsi file-file penting yang terkait dengan mesin virtual (VM) yang berjalan di ESXi, seperti file konfigurasi (.vmx), disk virtual (.vmdk), dan snapshot. Enkripsi ini membuat VM tidak dapat diakses, melumpuhkan layanan yang berjalan di atasnya.
  3. Meninggalkan Catatan Tebusan
    Setelah mengenkripsi file, ransomware akan meninggalkan catatan tebusan yang berisi instruksi tentang cara membayar tebusan untuk mendapatkan kunci dekripsi.

Apakah Penjahat Brain Chiper Mendapatkan Data PDN?

Dari Katadata, terdapat 56 kementerian dan lembaga, serta 13 provinsi, 105 kabupaten, dan 31 kota yang menggunakan Pusat Data Nasional selama 2020 – 2021.

Apakah data-data mereka aman?

Penjahat yang menjalankan ransomware tidak secara otomatis mengetahui isi data yang tersimpan di VMware ESXi saat melakukan serangan. Tujuan ransomware adalah mengenkripsi data agar tidak bisa diakses, bukan untuk mencuri atau melihat isinya. Namun, ada beberapa skenario di mana penjahat ransomware bisa mendapatkan akses ke data-data itu.

Sebelumnya, kita lihat dulu bagaimana VMWare melindungi data penggunanya.

Mekanisme Perlindungan Data VMware

VMware punya beberapa mekanisme perlindungan data yang bisa membantu mengurangi risiko serangan ransomware:

  1. VMware vSphere Encryption
    Fitur ini memungkinkan enkripsi data pada tingkat VM, termasuk file konfigurasi VM, file disk virtual, dan snapshot. Dengan enkripsi ini, data akan tetap terlindungi meskipun terjadi serangan ransomware. VMware ESXi juga mendukung enkripsi data saat istirahat (data-at-rest encryption) untuk melindungi data pada penyimpanan yang terhubung ke ESXi. Ini berarti data akan dienkripsi saat disimpan dan hanya bisa diakses dengan kunci dekripsi yang sesuai.
  2. VMware NSX
    Platform virtualisasi jaringan ini menyediakan fitur keamanan seperti micro-segmentation dan distributed firewall yang bisa membantu membatasi pergerakan lateral ransomware di dalam jaringan.
  3. VMware Carbon Black
    Solusi keamanan endpoint ini bisa mendeteksi dan memblokir aktivitas ransomware sebelum data dienkripsi.
  4. vSphere Trust Authority
    Fitur ini memungkinkan administrator untuk mengontrol akses ke kunci enkripsi dengan lebih ketat, sehingga hanya pengguna atau proses yang berwenang yang bisa mengakses data yang dienkripsi.
  5. Patch Keamanan
    VMware secara rutin merilis patch keamanan untuk mengatasi kerentanan yang ditemukan pada ESXi dan produk lainnya. Penting untuk selalu memperbarui ESXi dengan patch terbaru untuk melindungi dari serangan ransomware.
  6. Backup dan Disaster Recovery
    VMware menyediakan solusi backup dan disaster recovery yang memungkinkan penggunanya memulihkan data jika terjadi serangan ransomware.
recovery dari ransomware
waktu recovery dari ransomware

Kemungkinan Penjahat Ransomware Mendapatkan Data

Ada beberapa skenario dan kemungkinan dimana penjahat ransomware bisa mendapatkan akses ke data.

  1. Serangan Ransomware Ganda
    Beberapa jenis ransomware modern tidak hanya mengenkripsi data, tetapi juga mencuri data sebelum dienkripsi. Data yang dicuri ini bisa digunakan untuk memeras korban lebih lanjut atau dijual di pasar gelap.
  2. Kerentanan pada Sistem
    Jika ada kerentanan lain pada sistem ESXi atau mesin virtual yang berjalan di atasnya, penyerang bisa memanfaatkan kerentanan tersebut untuk mengakses data sebelum atau setelah mengenkripsinya.
  3. Data yang Tidak Dienkripsi
    Jika ada data yang tidak terlindungi atau tidak dienkripsi di dalam VM, atau jika ransomware tidak berhasil mengenkripsi semua data, maka pemilik ransomware bisa mengakses data tersebut.
  4. Akses Melalui Jaringan
    Jika penyerang berhasil mendapatkan akses yang lebih dalam ke jaringan tempat ESXi berada, mereka mungkin bisa mengakses data melalui cara lain, seperti memanfaatkan kerentanan pada protokol jaringan atau mencuri kredensial pengguna lain.

Penting untuk diingat bahwa tidak ada sistem yang 100% aman. Kombinasi dari berbagai lapisan keamanan, seperti enkripsi, backup, dan patch keamanan, akan memberikan perlindungan yang lebih baik terhadap serangan ransomware.

Selain itu, penting untuk selalu mengikuti best-practice security, seperti menggunakan kata sandi yang kuat, membatasi akses ke sistem hanya untuk pengguna yang berwenang, dan berhati-hati terhadap email atau tautan yang mencurigakan.

Membangun Pertahanan yang Tangguh di Era Cloud

Serangan “Brain Cipher” terhadap PDN Indonesia adalah panggilan untuk bertindak bagi semua organisasi, baik pemerintah maupun swasta, untuk memperkuat pertahanan siber mereka di era cloud computing.

Jika Anda adalah pelaku bisnis, atau orang yang bertanggung jawab terhadap keamanan infrastruktur digital perusahaan Anda, serangan terhadap PDN Indonesia menyoroti pentingnya keamanan siber yang kuat dalam infrastruktur virtual, terutama yang berbasis ESXi VMware.

Zero Trust Security

Adopsi model keamanan Zero Trust, yang mengasumsikan bahwa tidak ada pengguna atau perangkat yang dapat dipercaya secara default. Ini berarti menerapkan otentikasi multi-faktor, segmentasi jaringan, dan kontrol akses berbasis peran untuk membatasi pergerakan lateral penyerang di dalam jaringan.

Patching yang Proaktif dan Komprehensif

Jangan hanya fokus pada patching kerentanan yang diketahui. Implementasikan strategi patching yang proaktif yang mencakup semua perangkat lunak dan firmware, termasuk sistem operasi, aplikasi, dan komponen pihak ketiga. Pertimbangkan untuk menggunakan solusi manajemen patch otomatis untuk memastikan bahwa semua sistem selalu diperbarui.

Backup yang Tidak Dapat Diubah

Backup data secara teratur dan simpan di lokasi yang terpisah dan aman, baik secara offline maupun di cloud yang terisolasi. Pastikan backup tersebut tidak dapat diubah oleh ransomware, misalnya dengan menggunakan teknologi immutable storage atau air-gapping.

Deteksi dan Respon Ancaman yang Cepat

Gunakan solusi keamanan yang canggih seperti Endpoint Detection and Response (EDR) dan Security Information and Event Management (SIEM) untuk mendeteksi aktivitas mencurigakan secara real-time dan merespons ancaman dengan cepat.

Edukasi dan Kesadaran Keamanan Siber

Latih karyawan tentang ancaman siber terbaru, seperti phishing dan ransomware, dan cara mengidentifikasinya. Buat simulasi phishing untuk menguji kesiapan karyawan dan memberikan umpan balik yang konstruktif.

Kerjasama dan Berbagi Informasi

Berpartisipasilah dalam komunitas keamanan siber untuk berbagi informasi tentang ancaman terbaru dan praktik terbaik. Bekerjasama dengan pemerintah dan organisasi lain untuk meningkatkan keamanan siber secara kolektif.

Sebagai tambahan, berikut beberapa langkah mitigasi yang bisa kita ambil:

  1. Patching Rutin
    Selalu pastikan ESXi dan semua komponen terkait diperbarui dengan patch keamanan terbaru untuk mencegah eksploitasi kerentanan yang diketahui.
  2. Keamanan Jaringan
    Implementasikan firewall yang kuat, batasi akses ke ESXi hanya untuk pengguna dan sistem yang berwenang, dan pantau lalu lintas jaringan secara terus-menerus untuk mendeteksi aktivitas mencurigakan.
  3. Backup Teratur dan Terisolasi
    Buat backup data secara teratur dan simpan di lokasi yang terpisah dan aman, baik secara offline maupun di cloud yang terisolasi, untuk memastikan ketersediaan data jika terjadi serangan ransomware.
  4. Edukasi Pengguna
    Latih pengguna untuk mengenali ancaman siber seperti phishing dan social engineering, serta pentingnya mengikuti praktik keamanan yang baik.
  5. Rencana Pemulihan Bencana
    Siapkan rencana pemulihan bencana yang komprehensif untuk meminimalkan dampak serangan ransomware dan memulihkan layanan secepat mungkin.
  6. Keamanan Endpoint
    Terapkan solusi keamanan endpoint yang kuat untuk mendeteksi dan memblokir aktivitas ransomware pada tingkat endpoint.
  7. Pemantauan dan Deteksi Ancaman
    Gunakan solusi pemantauan dan deteksi ancaman yang canggih untuk memantau aktivitas di lingkungan ESXi secara real-time dan mengidentifikasi potensi ancaman.

Takeaway

Serangan ransomware “Brain Cipher” terhadap PDN Indonesia adalah pengingat yang menyakitkan bahwa ancaman siber terus berkembang dan menjadi semakin canggih.

Tidak ada organisasi yang kebal terhadap serangan ini, terutama di era cloud computing yang semakin kompleks.

Namun, dengan menerapkan strategi pertahanan berlapis yang komprehensif, kita dapat mengurangi risiko serangan ransomware dan melindungi aset digital kita yang paling berharga.

Jangan biarkan infrastruktur virtual Anda menjadi korban berikutnya. Dengan memahami cara kerja ransomware, menerapkan praktik keamanan terbaik, dan selalu waspada, Anda dapat melindungi aset digital berharga Anda dan memastikan kelangsungan bisnis Anda.


Kode Voucher Diskon 50% : CGPT50

Konten iklan ini dipilihkan oleh Google sesuai kebiasaan Anda akses informasi
0 Shares:
You May Also Like
Read More

Bencana di BSI: Apa Yang Sebenarnya Terjadi?

BSI, Bank Syariah terbesar di Indonesia ini mengalami gangguan yang sangat lama. Pelanggan tidak bisa melakukan transaksi hampir di semua channel. Ketika sebuah bank tidak dapat beroperasi secara normal selama lebih dari 4 jam, maka hal itu dapat menyebabkan kerugian finansial yang signifikan, kerusakan reputasi, dan ketidakpuasan nasabah. Ini adalah bencana. Saya akan menjelaskan kemungkinan penyebab gangguan tersebut, dampaknya, langkah demi langkah untuk menanganinya, dan memberikan saran tentang bagaimana bank dapat mempersiapkan hal seperti ini dengan lebih baik di kemudian hari.
Read More