Ransomware Menyusup ke PDNS 2, Ada Human Error?
- Pemerintah sedang investigasi terkait ransomware di PDNS 2 Surabaya, termasuk cara masuknya ke server.
- Brain Cipher yang menyerang PDNS 2 adalah turunan dari LockBit 3.0, sudah ada 5 layanan publik yang pulih.
- Forensik temukan upaya penonaktifan Windows Defender pada Juni 2024 dan Telkom Indonesia implementasikan firewall.
Pemerintah masih melakukan investigasi terkait dugaan pelanggaran data di Pusat Data Sementara (PDNS) 2 yang ada di Surabaya, Jawa Timur. Fasilitas tersebut terkena ransomware yang membuat sejumlah layanan publik terganggu.
Saat ini Badan Siber dan Sandi Negara (BSSN) sedang melakukan penyelidikan, lewat mana Brain Cipher ini masuk ke server PDNS. Jadi sementara ini diduga ransomware masuk lewat satu end point yang ada di kementerian/lembaga.
Masih dilakukan audit forensik
Direktur Network dan IT Solution Telkom Indonesia, Herlan Wijarnako menjawab pertanyaan terkait peristiwa ini, soal apakah ada kesalahan manusia dalam kasus ransomware yang menyasar PDNS 2.
"Ini masih bagian dari audit forensik yang dilakukan BSSN. Nanti pada saatnya pasti bisa kita temukan. Tapi yang jelas sudah pasti ini ransomware ya, yang memang dari tahun ke tahun attack-nya (serangan) semakin meningkat," ujarnya di Jakarta pada Rabu (26/06/2024).
Adapun yang terinfeksi adalah Brain Cipher, merupakan turunan dari LockBit 3.0 yang menyerang Bank Syariah Indonesia (BSI). Saat ini sudah ada 5 layanan publik yang kembali normal, termasuk imigrasi.
Saat ini pemerintah tengah melakukan pemulihan terhadap 44 data kementerian/lembaga yang memiliki cadangan data, diharapkan rampung di akhir bulan Juni.
Soal Windows Defender
Beberapa waktu yang lalu, Juru Bicara BSSN, Ariandi Putra menjelaskan hasil analisis forensik sementara menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender pada 17 Juni 2024 pukul 23.15 WIB, yang memungkinkan aktivitas malicious (kejahatan) dapat berjalan.
“Aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, di antaranya melakukan instalasi file malicious, menghapus file system penting, dan menonaktifkan service yang sedang berjalan. Diketahui tanggal 20 Juni 2024, pukul 00.55 Windows Defender mengalami crash dan tidak bisa beroperasi,” jelasnya.
Saat ditanya mengenai Windows Defender yang saat ini tidak aktif, Herlan belum bisa menjelaskan secara detail karena masih mempelajari aspek-aspek yang tepat untuk mitigasi PDNS 2.
"Terus terang ini banyak aspek yang masih kita sisir, mana yang proper, mana yang tidak. Jadi mohon maaf saya belum bisa menyampaikan. Tapi secara keseluruhan, ini merupakan bagian dari audit forensik, menyangkut tata kelola, menyangkut tool-tool yang memang harus diimplementasikan," terangnya.
Selain dengan Windows Defender, perusahaan pelat merah itu, untuk keseluruhan sistemnya mengimplementasikan firewall.
