Kronologi Serangan Ransomware ke PDN dan Penanganannya yang Tak Kunjung Usai
2024-07-10 HaiPress
iDoPress - Penanganan serangan ransomware LockBit 3.0 Brain Cipher ke PDNS (Pusat Data Nasional Sementara) masih belum menemui titik terang hingga saat ini,terhitung sudah tiga minggu sejak awal serangan dimulai pada 17 Juni kemarin.
Untuk diketahui,PDNS yang merupakan bagian dari proyek PDN (Pusat Data Nasional) telah terserang ransomware LockBit 3.0 varian baru bernama Brain Cipher. PDNS yang terserang ransomware itu adalah PDNS 2 di Surabaya.
Baca juga: Hacker Brain Cipher Yakin Kunci Enkripsi Berfungsi,Klaim Sudah Hapus Data PDN
Serangan ransomware itu telah menyebabkan gangguan di sejumlah layanan instansi pemerintah pusat dan daerah. Serangan juga mengakibatkan data-data di PDNS 2 terenkripsi atau terkunci dan tak dapat dipulihkan.
Serangan ransomware ke PDNS ini diwarnai dengan berbagai drama,mulai hacker minta tebusan,hacker memberi kunci enkripsi gratis,ketidakmampuan pemerintah memulihkan data yang terenkripsi,dan terdapat pejabat yang undur diri.
Untuk lebih lengkapnya,berikut kami rangkumkan kronologi serangan ransomware LockBit 3.0 Brain Cipher dan penanganannya,yang dihimpun dari berbagai sumber.
Kronologi serangan ransomware ke PDNS dan penanganannya
17 Juni 2024,pukul 23.15 WIB
Serangan ransomware ke PDNS diketahui mulai terjadi pada 17 Juni 2024,pukul 23.15 WIB. Pada waktu tersebut,ditemukan adanya upaya penonaktifkan fitur keamanan Windows Defender,yang akhirnya memungkinkan serangan ke PDNS bisa beroperasi.
Awal serangan ini diketahui setelah tim dari pemerintah dan pengelola melakukan investigasi karena terdapat gangguan pada layanan imigrasi di bandara pada 20 Juni 2024.
Tim tersebut terdiri dari Badan Siber dan Sandi Negara (BSSN),Kementerian Komunikasi dan Informatika (Kominfo),Cybercrime Polri,dan Telkom Sigma.
20 Juni 2024,pukul 00.54 WIB
Dari hasil investigasi,setelah Windows Defender dinonaktifkan,aktivitas malicious (berbahaya) mulai terjadi di server PDNS pada 20 Juni 2024 pukul 00.54 WIB.
Aktivitas berbahaya itu seperti melakukan instalasi file malicious,menghapus sistem file penting,dan menonaktifkan layanan yang sedang berjalan.
File yang berkaitan dengan penyimpanan,seperti VSS,HyperV Volume,VirtualDisk,dan Veaam vPower NFS,juga mulai dinonaktifkan dan gangguan.
20 Juni 2024,pukul 00.55 WIB
Setelah itu,pada 20 Juni 2024,pukul 00.55 WIB,sistem keamanan Windows Defender pada PDNS mengalami gangguan dan tidak bisa beroperasi.
Serangan ransomware ke PDNS ini yang nantinya menyebabkan sejumlah layanan instansi pemerintah mengalami gangguan.
20 Juni 2024,pukul 15.00 WIB
Dampak dari serangan ransomware ke PDNS mulai teridentifikasi pertama kali saat layanan imigrasi di sejumlah bandara Indonesia mengalami gangguan,pada 20 Juni 2024.
Pemerintah melalui Direktorat Jenderal Kemenkumham mengonfirmasai bahwa layanan keimigrasian di seluruh bandara di Indonesia,termasuk bandara primer seperti Bandara Internasional Soekarno Hatta,Cengkareng; Bandara I Gusti Ngurah Rai; Juanda; Kualanamu; Hang Nadim hingga Pelabuhan Batam Center dan Nongsa lumpuh pada Kamis (20/6/2024) sekitar pukul 15.00 WIB.
Gangguan ini menyebabkan layanan imigrasi dilakukan secara manual,sehingga membuat antrean panjang. Gangguan layanan imigrasi akibat serangan ransomware ke PDNS ini terjadi selama empat hari.
Baca juga: Terungkap,Akses ke Server PDN Pakai Password Admin#1234
23 Juni 2024
Pemerintah melalui Kominfo meminta maaf atas gangguan yang terjadi pada layanan imigrasi dan menyampaikan upaya pemulihan yang telah dilakukan pada 23 Juni 2024.
Dalam pengumuman ini,telah terkonfirmasi bahwa gangguan pada layanan imigrasi disebabkan karena gangguan pada PDNS. Namun,belum dijelaskan penyebab utama gangguan pada PNDS.
24 Juni 2024,pukul 07.00 WIB
Setelah empat hari mengalami gangguan,layanan imigrasi yang terdampak dilaporkan sudah berangsur pulih pada 24 Juni 2024,pukul 07.00 WIB.
Layanan itu seperti layanan Visa dan Izin Tinggal,Layanan Tempat Pemeriksaan Imigrasi (TPI),Layanan Paspor,Layanan Visa on Arrival (VOA) on boarding,dan Layanan Manajemen Dokumen Keimigrasian.
24 Juni 2024
Pada 24 Juni 2024,pemerintah mengonfirmasi jika gangguan pada PDNS terjadi karena serangan ransomware LockBit 3.0 Brain Chiper.
Selain itu,pemerintah juga melaporkan gangguan tak hanya terjadi pada layanan imigrasi dari Kementerian Hukum dan HAM . Ada sejumlah layanan instansi pemerintah yang terdampak,seperti Kementerian Koordinator Bidang Kemaritiman dan Investasi (Kemenkomarves),Kementerian PUPR,LKPP,serta Pemerintah Daerah Kediri.
Pihak Kominfo sempat mengatakan jika total terdapat 210 layanan instansi pemerintah yang terdampak.
Di tanggal ini,diketahui pula hacker Brain Cipher meminta tebusan ke pemerintah sebesar 8 juta dollar AS (sekitar Rp 131 miliar) untuk membukakan data di PDNS yang terkunci akibat serangan ransomware. Namun,tebusan ini ditolak pemerintah.
25 Juni 2024
Pada 25 Juni 2024,diketahui jumlah layanan instansi pemerintah yang terganggu akibat serangan ransomware ke PDNS,bertambah menjadi 282 layanan.
Dari 282 layanan terdampak,pihak Kominfo mengatakan jika terdapat tiga layanan yang sudah berangsur pulih,yaitu layanan keimigrasian,layanan perizinan event Kemenkomarves,dan layanan LKPP.
26 Juni 2024
Pihak Kominfo mengonfirmasi jika jumlah layanan terdampak yang pulih bertambah menjadi lima layanan,terdiri dari layanan keimigrasian Kemenkumham,layanan SIKaP dari LKPP,layanan Si Halal milik Kementerian Agama (Kemenag),dan ASN Digital Pemerintah Daerah Kediri.
Di tanggal ini,pihak Telkom selaku penyelenggara mengatakan jika data di PDNS 2 yang terkunci tidak dapat dipulihkan. Data bisa dikembalikan menggunakan data cadangan yang dimiliki 282 layanan instansi yang terdampak di PDNS 2. Namun,hanya 44 instansi yang punya data cadangan itu.
27 Juni 2024
Pada 27 Juni 2024,Komisi I DPR RI menyelenggarakan rapat kerja dengan memanggil Kominfo dan BSSN untuk dimintai pertanggungjawaban terkait masalah serangan ransomware dan pemulihan data di PDNS 2.
Dari rapat ini,diketahui jika data di PDNS 2 Surabaya yang terkena ransomware hanya memiliki backup sekitar 2 persen yang tersimpan di Cold Storage Batam. Data backup yang kecil tidak itu bisa dipakai sebagai DRC atau sumber pemulihan sistem PDNS 2.
Dalam rapat itu,pihak BSSN mengatakan jika masalah ransomware ini terjadi karena adanya kekurangan dalam tata kelola menjalankan data center.
28 Juni 2024
Pada 28 Juni 2024,Presiden Joko Widodo meminta Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk mengaudit tata kelola Pusat Data Nasional (PDN) setelah adanya insiden serangan ransomware.
1 Juli 2024
Di tengah masalah data PDNS yang tidak bisa dipulihkan,pada 1 Juli 2024,hacker Brain Cipher lewat laman di dark web mengumumkan bakal memberi kunci untuk membuka atau dekripsi data PDNS yang terenkripsi.
Mereka berjanji akan memberikan kunci itu pada 3 Juli 2024 secara cuma-cuma. Mereka juga membuka donasi terbuka untuk menerima sumbangan lewat mata uang kripto Monero.
Di tanggal yang sama,dari hasil forensik,pihak Kemenkopolhukam mengeklaim telah menemukan pengguna yang mengakibatkan serangan ransomware ke PDNS bisa terjadi. Temuan didasarkan dengan melihat siapa pengguna yang selalu menggunakan password.
Kemudian,pihak Kemenkopolhukam juga menyampaikan PDNS 2 Surabaya akan pulih pada Juli ini.
3 Juli 2024
Pada 3 Juli 2024,hacker Brain Chiper menepati janjinya dengan memberikan kunci dekripsi data PDNS secara gratis.
Dalam pengumuman pemberian kunci itu,mereka juga menyampaikan beberapa pesan,termasuk mengancam akan membagikan data PDNS ke publik jika pemerintah tidak mengakui peran mereka.
4 Juli 2024
Sehari berikutnya,pada 4 Juli 2024,pihak Kominfo mengonfirmasi jika kunci yang diberikan Brain Cipher bisa digunakan untuk membuka spesimen data PDNS. Spesimen merupakan data-data yang berhasil diambil pasca serangan ransomware ke PDNS.
Belum diketahui secara pasti apakah kunci ini bisa untuk membuka semua data PDNS yang terenkripsi.
Di tanggal yang sama,Direktur Jenderal Aplikasi Informatika Kominfo Semuel Pangerapan,yang selama ini turut mengawal kasus serangan ransomware ke PDNS,mengumumkan pengunduran dirinya. Pengunduran diri Semuel berkaitan dengan tanggung jawab moral atas insiden serangan tersebut.
9 Juli 2024
Dalam pengumuman terbarunya yang diunggah pada 9 Juli 2024,Hacker Brain Cipher yakin jika kunci yang diberikan berfungsi.
Mereka juga mengeklaim jika telah menghapus semua data di PDNS yang dicuri.
Baca juga: Mengenal Monero,Mata Uang Kripto yang Dipakai Hacker Peretas PDN buat Terima Sumbangan
Hingga saat ini,penanganan pemulihan data di PDNS belum jelas. Tidak bisa diketahui secara pasti apakah kunci yang diberikan hacker benar-benar berfungsi untuk membuka semua data di PDNS yang terkunci.
Kemudian,apakah data di PDNS 2 sebenarnya berhasil dicuri atau tidak? Belum ada kepastian pula terkait keamanan data di PDNS 2 yang terserang ransomware LockBit 3.0 Brain Cipher. Sudah tiga minggu sejak serangan dilancarkan,penanganan masih belum jelas.
Perihal perkembangan penanganan PDNS yang terserang ransomware LockBit 3.0 Brain Cipher,kami telah mencoba menghubungi pihak Kominfo,tetapi belum ada respons sama sekali hingga tulisan ini dibuat.
Dapatkan update berita teknologi dan gadget pilihan setiap hari. Mari bergabung di Kanal WhatsApp KompasTekno. Caranya klik link https://whatsapp.com/channel/0029VaCVYKk89ine5YSjZh1a. Anda harus install aplikasi WhatsApp terlebih dulu di ponsel.
Simak breaking news dan berita pilihan kami langsung di ponselmu. Pilih saluran andalanmu akses berita Kompas.com WhatsApp Channel : https://www.whatsapp.com/channel/0029VaFPbedBPzjZrk13HO3D. Pastikan kamu sudah install aplikasi WhatsApp ya.