OASEDATA – Pada tanggal 20 Juni 2024 pukul 04:00 Pagi Server PDN Indonesia telah dilumpuhkan oleh serangan ransomware jenis LockBit 3.0, menyebabkan gangguan serius pada layanan keimigrasian di berbagai bandara di seluruh negeri. Dampak dari serangan ini telah menimbulkan kekacauan dalam proses penerbangan serta imigrasi, mengganggu banyak penumpang yang hendak melakukan perjalanan internasional.

Salah satu dampak signifikan dari lumpuhnya server PDN adalah gangguan pada layanan keimigrasian, saat ini memang layanan keimigrasian ini menggunakan server pdn milik kominfo. Akibatnya, proses keimigrasian mengalami kendala serius dan harus dilakukan secara manual untuk memeriksa orang yang keluar masuk Indonesia. Kondisi ini memaksa calon penumpang tujuan luar negeri untuk mengantisipasi gangguan layanan keimigrasian dengan berangkat lebih awal ke Bandara Soekarno-Hatta, guna memastikan mereka memiliki cukup waktu untuk melalui proses pemeriksaan yang lebih lambat dari biasanya.

Sebelumnya Menteri Komunikasi dan Informatika, Budi Arie juga telah mengakui bahwa beberapa pegawai di kementeriannya turut serta terlibat dalam aktivitas judi online. Pernyataan ini semakin memperkuat dugaan bahwa serangan siber ini tidak hanya sekedar gangguan teknis, tetapi juga melibatkan oknum-oknum dalam institusi yang seharusnya menjaga keamanan informasi negara.

Serangan ransomware ini dikaitkan dengan maraknya kasus judi online di Indonesia yang semakin meningkat belakangan ini. Ada indikasi kuat bahwa serangan siber ini bertujuan agar para bandar judi online dapat keluar masuk Indonesia dengan lebih mudah. Dengan melumpuhkan server keimigrasian, para pelaku judi online dapat memanfaatkan celah keamanan yang tercipta akibat gangguan tersebut.

Indikasi Brain Chiper Ransomeware

Indikasi bahwa ransomware yang menyerang server PDN adalah Brain Cipher Ransomware semakin kuat dengan melihat pola enkripsi dan dekripsi yang digunakan oleh malware ini. Dulu, kebanyakan ransomware hanya menambahkan nama file di akhir, misalnya: README.txt.encrypted. Namun, ransomware LockBit kini dapat dikonfigurasi (melalui config.json) untuk mengenkripsi nama file.

Agar file dapat dikembalikan, nama file harus disimpan oleh ransomware ini di bagian footer file yang dienkripsi. Berikut adalah langkah-langkah yang dilakukan oleh malware ketika mengenkripsi sebuah file:

1. Mengecek apakah file perlu diskip atau tidak. File tertentu (misalnya EXE, DLL, BAT) akan diskip supaya pengguna tetap bisa masuk/login ke Windows dan membaca tuntutan ransom.

2. Membuat key per file, berupa matriks inisialisasi untuk Salsa20 dengan panjang 64 byte.

3. Mengkompres nama file (bukan isi file) dengan library apLib.

4. Menuliskan nama file yang sudah dikompresi, panjang nama file, informasi mengenai “skip”, dan key untuk file tersebut di footer.

5. Footer tersebut dienkripsi lagi untuk menghindari pemulihan file yang mudah.

Pada ransomware LockBit/Brain Cipher yang menyerang PDN, tiap 1000 file menggunakan key yang sama untuk enkripsi footer. Proses enkripsi ini melibatkan beberapa langkah penting:

- Setiap file memiliki key yang berbeda (KEY_PER_FILE).

- Key tiap file ini dienkripsi lagi dengan KEY_PER_1000_FILE.

- KEY_PER_1000_FILE ini dienkripsi dengan RSA.

Jika kita memiliki RSA key dari pembuat malware, kita bisa:

1. Membuka KEY_PER_1000_FILE, dan hasilnya kita bisa

2. Membuka KEY_PER_FILE, lalu mendekripsi file tersebut.

Namun, mendapatkan RSA key 1024 bit ini sangat sulit, kecuali kita mendapatkannya dari pembuat malware atau melakukan cracking dengan super komputer.

Kelemahan dari ransomware ini ditemukan ketika ada file yang namanya pendek (misalnya: backup.zip) dan file yang namanya panjang (misalnya: “Informasi Klaim – Asuransi Mikro Hospital Cash Plan 5 Diseases (Juli 2024).txt”) dienkripsi dengan key yang sama. Dengan menggunakan XOR nama file asli yang diketahui dengan footer file terenkripsi, kita bisa mendapatkan PARTIAL KEY. Dari PARTIAL KEY ini, jika diXORkan dengan footer file lainnya, key untuk file tersebut bisa ditemukan.

Sebagai contoh:

- Footer file pertama (A.TXT) mengandung A.TXT diikuti oleh KEY1 (key file pertama).

- Footer file kedua (YOHANES.TXT) mengandung YOHANES.TXT diikuti oleh KEY2 (key file kedua).

Jika kita tahu nama file asli dari E (misalnya YOHANES.TXT), kita bisa melakukan XOR nama file asli dengan footer file tersebut, dan mendapatkan PARTIAL KEY. PARTIAL KEY ini bisa digunakan untuk mendekrip file lain dengan key yang sama.

Hasil Investigasi Tim Oasedata kasus PDN Server Kominfo

Tim penelusuran dari OaseData menemukan pola penting dalam serangan ransomware LockBit. Berdasarkan data yang diperoleh, diketahui bahwa LockBit selalu mengumumkan serangannya terhadap sistem milik pemerintahan sebuah negara melalui channel resmi mereka. Pola ini terlihat jelas dalam kasus serangan terhadap Mandiri Sekuritas dan Bank Syariah Indonesia.

Namun, temuan terbaru menunjukkan bahwa serangan terhadap Pusat Data Nasional (PDN) tidak konsisten dengan pola ini. Hingga hari ini, tidak ditemukan pernyataan resmi dari LockBit mengenai serangan terhadap PDN. Bahkan, LockBit hanya mengumumkan serangan terbarunya terhadap sistem US Federal Reserve (USA), bukan PDN.

Hasil penelusuran yang dilakukan pada 26 Juni 2024 menunjukkan bahwa, setelah pencarian dan filter dengan domain go.id pada portal resmi milik LockBit, tidak ada pemberitahuan mengenai serangan terhadap sistem PDN (gambar 1). Sebaliknya, LockBit mengumumkan pada 25 Juni 2024 bahwa mereka sedang menyerang sistem milik US Federal Reserve (USA) (gambar 2). Temuan ini menunjukkan bahwa klaim serangan terhadap PDN oleh LockBit perlu diteliti lebih lanjut dan belum dapat dikonfirmasi kebenarannya.

Dalam perkembangan terbaru yang mencengangkan, Brain Chipper merilis pernyataan resmi https://www.ransomware.live/#/status yang menawarkan kunci enkripsi gratis untuk membuka data server PDN. Langkah ini diambil setelah sebelumnya beredar berita bahwa server PDN terkena ransomware LockBit 3.0. Hal yang mencurigakan adalah adanya hacker yang tiba-tiba meminta maaf dan memberikan kunci enkripsi secara cuma-cuma. Tindakan ini menimbulkan tanda tanya besar mengenai motif sebenarnya di balik serangan tersebut dan apakah ada keterlibatan pihak-pihak tertentu yang berusaha menyembunyikan tujuan sebenarnya dari serangan ini. Dengan pernyataan dan langkah mengejutkan ini, semakin banyak spekulasi tentang adanya agenda tersembunyi yang ingin meloloskan bandar judi online dengan memanfaatkan celah keamanan yang tercipta.

Berdasarkan semua bukti dan temuan yang ada, semakin jelas bahwa serangan ransomware yang melumpuhkan server PDN tidak hanya sekadar insiden siber biasa. Pernyataan Menteri Komunikasi dan Informatika, Budi Arie, yang mengakui keterlibatan beberapa pegawai kementeriannya dalam aktivitas judi online memperkuat dugaan bahwa ada konspirasi di balik serangan ini. Dengan melumpuhkan sistem keimigrasian, para bandar judi online bisa dengan mudah keluar masuk Indonesia tanpa terdeteksi. Keterkaitan ini menunjukkan bahwa serangan siber ini mungkin sengaja diatur untuk menciptakan celah keamanan yang dapat dimanfaatkan oleh para pelaku kejahatan. Oleh karena itu, penting bagi kita untuk terus menggali lebih dalam dan memastikan bahwa langkah-langkah keamanan yang lebih ketat diterapkan untuk mencegah kejadian serupa di masa depan.