Badan Siber dan Sandi Negara (BSSN) mengungkap bahwa peretasan Pusat Data Nasional Sementara (PDNS) 2 di Surabaya dimulai dengan upaya melumpuhkan antivirus Windows Defender. Tiga hari kemudian, sistem tersebut berhasil dibobol.
Insiden ini berdampak pada layanan publik, termasuk imigrasi, yang terganggu sejak 20 Juni 2024.
Menurut Juru Bicara BSSN, Ariandi Putra, analisis forensik sementara menunjukkan bahwa upaya penonaktifan fitur keamanan Windows Defender terjadi pada 17 Juni 2024 pukul 23.15 WIB. Penonaktifan ini memungkinkan aktivitas berbahaya (malicious) berjalan.
"Aktivitas berbahaya dimulai pada 20 Juni 2024 pukul 00.54 WIB, termasuk instalasi file berbahaya, penghapusan file sistem penting, dan penonaktifan layanan yang sedang berjalan," ungkap Ariandi, dikutip dari siaran pers Kementerian Komunikasi dan Informatika (Kominfo), Selasa (25/6).
Pada tanggal 20 Juni 2024, pukul 00.55, Windows Defender mengalami crash dan tidak dapat beroperasi. Windows Defender adalah antivirus atau perangkat lunak perlindungan keamanan dari Microsoft yang disertakan gratis jika membeli lisensi Microsoft lain, seperti Microsoft 365. Versi berbayarnya adalah Microsoft Defender for Business.
Ariandi menambahkan bahwa tim BSSN saat ini masih melakukan investigasi menyeluruh setelah mengidentifikasi sumber serangan yang menggunakan Brain Chiper Ransomware, pengembangan terbaru dari ransomware Lockbit 3.0.
"Akan dilakukan analisis lebih lanjut terhadap sampel ransomware dengan melibatkan entitas keamanan siber lainnya. Ini penting sebagai pembelajaran dan upaya mitigasi agar insiden serupa tidak terjadi lagi," ujarnya.
Brain Cipher adalah ransomware yang tergolong baru dalam dunia peretasan. Kelompok hacker ini tampaknya melakukan pemerasan ganda dengan menyusup ke data sensitif dan mengenkripsinya. Para korban diberikan ID enkripsi untuk digunakan di situs web Onion milik kelompok ini guna menghubungi mereka, sebagaimana ditulis oleh Symantec dalam laman resmi mereka.
Hadi menyampaikan bahwa dari hasil forensik digital, ditemukan bahwa seorang pengguna secara rutin menggunakan kata sandi yang sama, yang akhirnya dimanfaatkan oleh peretas untuk melancarkan serangan. Temuan ini disampaikan dalam konferensi pers di Kantor Kemenko Polhukam, Jakarta, pada Senin (1/7).
"Dari hasil forensik pun kami sudah bisa mengetahui bahwa siapa user yang selalu menggunakan password-nya dan akhirnya terjadi permasalahan-permasalahan yang sangat serius ini," ujar Hadi.
Berdasarkan temuan tersebut, Hadi menegaskan bahwa ke depannya, Badan Siber dan Sandi Negara (BSSN) akan memantau penggunaan kata sandi oleh pengguna sistem PDNS 2. Langkah ini diambil untuk mencegah terulangnya kejadian serupa.
"Kita juga mengimbau kepada user, nanti akan kita berikan suatu edaran agar penggunaan password oleh para user ini juga harus tetep hati-hati tidak sembarangan dan akan dimonitor oleh BSSN," tambahnya.
PDNS 2 di Surabaya mengalami gangguan sejak 20 Juni, yang menyebabkan beberapa layanan publik terhenti. Serangan ransomware ini memanfaatkan celah dari penonaktifan Windows Defender, sehingga 282 kementerian, lembaga, dan pemerintah daerah yang menggunakan PDNS 2 terdampak. Dari jumlah tersebut, 44 instansi sedang dalam proses pemulihan karena memiliki cadangan data, sementara 238 lainnya masih dalam pemantauan.
Peretas meminta tebusan sebesar US$8 juta atau sekitar Rp131 miliar kepada pemerintah untuk mengembalikan data yang terenkripsi. Namun, Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi menegaskan bahwa pemerintah tidak akan memenuhi tuntutan tersebut.
"Kami tidak akan membayar tebusan," tegas Budi.
Sampai saat ini, belum ada pihak yang mengaku bertanggung jawab atas serangan tersebut. BSSN juga belum berhasil mengidentifikasi peretas yang menyasar PDNS 2.
Pada pagi hari insiden tersebut, Hadi memimpin rapat koordinasi di Ruang Bima Kemenko Polhukam, yang dihadiri oleh Menkominfo Budi Arie Setiadi dan Kepala BSSN Hinsa Siburian. Seusai rapat, Hadi memastikan bahwa layanan PDNS 2 akan kembali aktif pada bulan Juli 2024.
"Dari hasil rakor, dapat saya simpulkan bahwa untuk layanan menggunakan PDNS 2 itu bisa melaksanakan pelayanan secara aktif bulan Juli 2024," kata Hadi.
Pemerintah juga berencana memperkuat keamanan dengan membuat backup berlapis. Situs cold site di Batam akan ditingkatkan kemampuannya menjadi hot site untuk memastikan layanan strategis tetap berjalan meskipun terjadi insiden serupa di masa mendatang.
"Situs dingin yang ada di Batam, akan mem-backup dengan meningkatkan kemampuannya menjadi hot site khusus untuk pelayanan pelayanan yang bersifat strategis. Jadi kalau kita ketahui ada DRC (disaster recovery center) Batam ini menjadi DRC yang mampu memberikan pelayanan secara autogate," pungkas Hadi.
