Site icon Mawan.NET

Mengenal Ransomware dan Lockbit Pembobol Data BSI

Mawan A. Nugroho

Kelompok hacker ransomware bernama LockBit mengaku telah menyerang sistem IT PT Bank Syariah Indonesia (Persero) Tbk. atau BSI dan berhasil mencuri sekitar 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabyte data internal. LockBit mengancam akan merilis semua data tersebut di web gelap jika negosiasi dengan pihak BSI gagal. Serangan terhadap BSI telah terjadi sejak tanggal 8 Mei 2023 dan LockBit memberikan waktu 72 jam kepada manajemen bank untuk menyelesaikan masalah tersebut.

Data pribadi yang dicuri oleh LockBit berupa sembilan database yang berisi 15 juta informasi nasabah berupa nomor telepon, alamat, nama, informasi dokumen, jumlah rekening, nomor kartu, dan transaksi. Selain itu, LockBit juga berhasil mencuri dokumen keuangan, dokumen hukum, perjanjian kerahasiaan atau Non Disclosure Agreement (NDA), dan kata sandi atau password dari semua layanan internal dan eksternal yang digunakan di BSI.

“Manajemen bank tidak punya alasan yang lebih baik selain berbohong kepada nasabah dan mitra perusahaan, yakni melaporkan adanya sejenis ‘masalah teknis’ yang sedang dialami oleh bank,” bunyi pernyataan LockBit yang dilansir dari akun Twitter @darktracer_int.

Menteri Badan Usaha Milik Negara (BUMN) Erick Thohir telah mengkonfirmasi adanya serangan siber terhadap sistem BSI. Namun, pihak BSI sendiri belum mengkonfirmasi dugaan serangan ransomware yang terjadi pada sistemnya. Direktur BSI Hery Gunardi mengatakan pihaknya masih akan menelusuri dugaan serangan siber tersebut.

Serangan terhadap BSI merupakan pengingat bahwa tidak ada organisasi yang kebal terhadap serangan ransomware. Ini menunjukkan betapa pentingnya perlindungan data bagi perusahaan dan nasabahnya. Hal ini juga menunjukkan bahwa perusahaan dan organisasi harus meningkatkan keamanan sistem IT mereka dan berinvestasi dalam sumber daya manusia dan teknologi yang diperlukan untuk melindungi data mereka dari serangan siber yang terus meningkat dan semakin kompleks.

Siapa LockBit?

LockBit adalah operasi ransomware-as-a-service (RaaS) yang pertama kali terlihat pada bulan September 2019. Kelompok ini dikenal dengan taktik agresifnya, termasuk pemerasan ganda dan kebocoran data. LockBit bertanggung jawab atas sejumlah serangan terkenal, termasuk serangan terhadap rantai pasokan perangkat lunak Kaseya VSA pada Juli 2021.

Ransomware LockBit mengenkripsi file di komputer korban dan menuntut pembayaran tebusan untuk mendapatkan kunci dekripsi. Kelompok ini juga mengancam akan membocorkan data korban jika uang tebusan tidak dibayarkan. LockBit diketahui menuntut tebusan hingga $70 juta.

LockBit merupakan operasi ransomware canggih yang terus berkembang. Kelompok ini dikenal menggunakan berbagai teknik untuk menghindari deteksi, termasuk menggunakan ekstensi file baru, mengenkripsi file sistem, dan menonaktifkan alat keamanan.

Berikut ini beberapa informasi tambahan tentang LockBit:

Cara Kerja LockBit

Serangan LockBit adalah jenis ransomware yang mampu menyebarkan diri sendiri dengan memanfaatkan perangkat umum seperti Windows Powershell dan Server Message Block (SMB). Serangan ini tidak dilakukan secara acak, melainkan ditargetkan pada korban tertentu.

Keistimewaan dari LockBit adalah kemampuan untuk menyebarkan diri secara otomatis, yang membedakannya dari serangan ransomware lainnya. LockBit juga sulit dideteksi oleh sistem keamanan karena menggunakan pola yang baru dan mampu menyembunyikan file enkripsi dalam format file yang umum.

Serangan LockBit biasanya terdiri dari tiga tahap, yakni eksploitasi, infiltrasi, dan deploy. Pada tahap eksploitasi, LockBit akan menyerang korban melalui taktik phishing untuk mendapatkan data-data penting. Pada tahap infiltrasi, LockBit akan beroperasi secara independen menggunakan perangkat post-exploitation dan memastikan telah masuk ke dalam jaringan korban. Pada tahap deploy, LockBit akan mengunci semua sistem file milik korban dan meminta uang tebusan kepada korban.

Korban disarankan untuk tidak memenuhi permintaan pelaku, karena tidak ada jaminan bahwa mereka akan memberikan kunci untuk membuka sistem file korban.

Apa itu SMB?

Server Message Block (SMB) adalah sebuah protokol jaringan yang digunakan untuk berbagi file, printer, dan sumber daya lainnya di jaringan komputer. Protokol ini pertama kali dikembangkan oleh Microsoft dan digunakan pada sistem operasi Windows.

SMB memungkinkan beberapa komputer dalam jaringan untuk berbagi dan mengakses file dan sumber daya lainnya secara bersama-sama. Protokol ini juga mendukung akses jarak jauh ke file dan printer yang berada di server jaringan.

SMB juga memungkinkan pengguna untuk mengakses file yang disimpan di komputer lain di jaringan dan memungkinkan komputer untuk membagikan file dan sumber daya dengan pengguna lain di jaringan. Protokol ini telah menjadi bagian integral dari jaringan Windows dan digunakan secara luas di seluruh dunia.

SMB versi terbaru, SMB3, memiliki beberapa fitur keamanan yang kuat, termasuk enkripsi, tanda tangan pesan digital, dan pengaturan kontrol akses yang canggih. Namun, seperti protokol jaringan lainnya, SMB juga rentan terhadap serangan dan telah menjadi sasaran serangan malware seperti ransomware dan worm.

Di Linux pun ada SMB yang bernama Samba. Samba memungkinkan komunikasi dan berbagi file antara sistem operasi yang berbeda, termasuk sistem operasi Windows dan Linux. Samba biasanya digunakan sebagai server file untuk jaringan yang terdiri dari perangkat Windows dan Linux, atau sebagai pengganti Windows Server untuk berbagai kebutuhan seperti autentikasi, penggunaan printer, dan lain-lain.

Bagaimana Ransomware Masuk?

Bank Syariah Indonesia belum mengungkapkan bagaimana ransomware tersebut dapat masuk ke dalam sistem mereka dan mencuri data. Namun, ada beberapa cara yang mungkin terjadi.

  1. Phishing: Salah satu kemungkinannya adalah ransomware tersebut dikirimkan kepada karyawan Bank Syariah Indonesia melalui email phishing. Email phishing dirancang agar terlihat seperti berasal dari sumber yang sah, seperti bank atau lembaga pemerintah. Ketika karyawan membuka email tersebut, mereka tertipu untuk mengklik tautan atau lampiran berbahaya, yang kemudian menginstal ransomware di komputer mereka.
  2. Kerentanan pada perangkat lunak: Kemungkinan lain adalah ransomware mampu mengeksploitasi kerentanan pada perangkat lunak yang terinstal pada sistem Bank Syariah Indonesia. Ketika kerentanan perangkat lunak ditemukan, penting bagi organisasi untuk menginstal patch keamanan terbaru sesegera mungkin. Jika kerentanan tidak ditambal, maka dapat dieksploitasi oleh ransomware untuk mendapatkan akses ke sistem.
  3. Serangan fisik: Terakhir, ada kemungkinan bahwa ransomware diinstal pada sistem Bank Syariah Indonesia melalui serangan fisik. Sebagai contoh, jika penyerang mendapatkan akses fisik ke komputer, mereka mungkin dapat menginstal ransomware pada sistem dengan mencolokkan drive USB yang berbahaya.

Setelah ransomware terinstal pada sistem Bank Syariah Indonesia, ransomware akan dapat mengenkripsi file dan mencuri data. Kelompok di balik ransomware kemudian akan meminta pembayaran tebusan untuk mendapatkan kunci dekripsi.

Penting untuk dicatat bahwa ini hanyalah beberapa penjelasan yang mungkin tentang bagaimana ransomware dapat masuk ke dalam sistem Bank Syariah Indonesia dan mencuri data mereka. Metode yang sesungguhnya dipakai oleh peretas mungkin tidak akan pernah diketahui.

Pencegahan

Bagi Perusahaan Besar (Corporate) bisa meminta bantuan jasa dari para profesional yang ahli dan berpengalaman. Tentu saja dengan bayaran mahal.

Bagi anda yang mempunyai perusahaan kecil (UMKM / SOHO) dengan dana terbatas tapi tidak ingin menemui nasib serupa, berikut ini adalah beberapa tips dari saya:

  1. Di sisi sumber daya manusia: Berikan pelatihan dan pemahaman kepada semua karyawan tentang bagaimana peretas bisa masuk ke sistem, termasuk di dalamnya ancaman phising email dan celah keamanan yang dapat timbul dari flashdrive yang dibawa dari rumah.
  2. Di sisi perangkat keras: Sistem yang aman adalah sistem yang tidak dapat diakses dari jaringan, terlebih akses ke internet. Tapi tentu saja ini tidak masuk akal. Maka, yang dapat kita lakukan adalah batasi seketat mungkin akses ke database. Bila kabel jaringan komputer atau akses wifi karyawan dirunut dan berakhir di server database, berarti tidak aman. Istilah gampangnya: Jangan sampai karyawan bisa mem-PING server database. Antara komputer karyawan dan server database sebaiknya dipisah oleh server khusus, misalkan internal web server (hanya bisa diakses karyawan, tidak bisa diakses publik). Internal web server inilah satu-satunya cara karyawan mengakses database.
  3. Di sisi perangkat lunak: Selalu lakukan update sistem operasi dan update aplikasi. Tutup port yang tidak perlu. Izinkan akses hanya melalui SSH. Tidak boleh masuk memakai pasangan username dan password. Satu-satunya otentikasi yang diizinkan adalah memakai pasangan private key dan public key. Batasi hak akses seketat mungkin. Sebagai contoh: Untuk web server, jangan beri hak akses www-data:www-data karena ini terlalu berlebihan. Buat saja satu user misalkan karyawan, di mana php-fpm berjalan sebagai anggota grup karyawan. Setelah itu folder diberikan (chown) ke karyawan:karyawan (user: karyawan, grup: karyawan).
  4. Gunakan 2FA di mana kode 2FA dihasilkan oleh perangkat lain yang tidak terhubung ke jaringan perusahaan, misalkan ponsel. Ponsel ini bukan ponsel pribadi, dan hanya dipakai untuk masuk ke sistem. Tidak boleh dipasangi aplikasi umum misalkan Facebook dan tidak boleh juga dipakai untuk browsing. Lebih bagus lagi bila memakai perangkat keras misalkan Ubikey yang harus dicolokkan ke port USB.
  5. Di sisi kebijakan: Harus dibuat peraturan-peraturan dan SOP yang sangat ketat dan diawasi agar selalu dipatuhi para karyawan.

Di atas langit masih ada langit. Tidak ada sistem yang benar-benar aman. Namun dengan kehati-hatian yang amat serius, setidaknya kita dapat meminimalisir bencana.

Mawan A. Nugroho.

Exit mobile version