Sumber foto: Sangfor Technologies

ARTICLE

“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.” – Sun Tzu

Layanan Bank Syariah Indonesia (BSI) sempat mengalami gangguan selama beberapa hari pada awal bulan Mei 2023 ini. Klaim dari kelompok peretas LockBit 3.0, Bank plat merah itu berhasil diserang sehingga berdampak pada gangguan layanan perbankan dan berpotensi mengakibatkan kebocoran data nasabah. Saat tulisan ini dibuat, masa negosiasi pembayaran tebusan telah berakhir, dan grup LockBit 3.0 akhirnya mempublikasikan data yang dicuri dari BSI di dark web.

Di balik layar, perang antara kriminal siber dan pengelola teknologi informasi (TI) telah terjadi dalam 3 (tiga) dekade terakhir. Seperti halnya perang yang terjadi di masa lalu, perang di era siber pun masih relevan mengutip “the art of war” – Sun Tzu. Seperti kutipan di awal artikel ini, sangat penting untuk mengetahui kapabilitas dan motivasi lawan serta mengenali kemampuan diri sendiri untuk dapat menangkal dan meminimalisir dampak perang.

Apa Itu Ransomware?

Ransomware adalah serangan siber yang mengenkripsi semua file di perangkat – sehingga tidak bisa diakses – sampai uang tebusan dibayarkan untuk mendapatkan penawarnya (dekriptor). Pakar keamanan siber menilai bahwa ransomware pada tahun 2022 memiliki tren yang jauh melampaui jumlah serangan siber lain. Menurut survey yang dilakukan Sophos pada tahun 2022, data yang diperoleh dari sekitar 5.600 profesional TI terkait ransomware, ditemukan bahwa 66% organisasi yang disurvei telah mengalami serangan ransomware pada tahun 2021 – meningkat 37% dari tahun 2020. Selain itu, pembayaran tebusan lebih tinggi dari tahun sebelumnya karena grup ransomware menyerang perusahaan yang lebih besar.

Pemerasan ganda dan pemerasan data menjadi tren terbaru karena banyak grup ransomware menggunakan metode tersebut untuk menyandera infrastruktur vital berbasis siber di seluruh dunia (baca colonial pipeline, costa rica attack). Banyak organisasi dan negara tidak siap menghadapi serangan semacam ini yang membuat mereka mempertanyakan postur keamanan mereka setelah infrastruktur siber mereka berhasil disusupi.

Siapa Lockbit?

Muncul pada September 2019, geng ransomware ini awalnya dikenal sebagai virus ABCD – merujuk ke nama ekstensi file yang digunakan saat mengenkripsi file korban. LockBit awalnya menargetkan organisasi di AS, Inggris, Jerman, China, India, Prancis, Ukraina, dan India, serta menghindari menginfeksi sistem-sistem di negara Rusia atau sekutunya (LockBit 3.0 bahkan memeriksa bahasa antarmuka pengguna terlebih dahulu untuk menghindari infeksi pada mesin berbahasa Rusia). Mengutip dari rilis yang dikeluarkan oleh badan keamanan siber AS, LockBit adalah ransomware as a service (RaaS), suatu layanan yang memungkinkan siapa saja — awam sekali pun – dapat membeli perangkat lunak jahat (ransomware) untuk melakukan serangan siber. Dalam bertransaksi, layanan ini memanfaatkan teknologi dark web seperti uang kripto sampai the onion router (TOR) yang merupakan jaringan terenkripsi. Hal inilah yang membuat pelacakan identitas atau atribusi terhadap pelaku kejahatan siber seperti Lockbit sangat sulit untuk dilakukan.

Awalnya, LockBit berbagi perilaku dengan malware seperti MegaCortex dan LockerGoga dan dianggap sebagai bagian dari keluarga malware tersebut. Keluarga malware ini memiliki target spesifik, dan menggunakan alat yang sama untuk menyebarkan diri (Windows PowerShell dan Server Message Block). Salah satu target serangan LockBit sebelumnya adalah Accenture, sebuah perusahaan konsultan teknologi terbesar di dunia. Grup tersebut menyerang Accenture pada Agustus 2021 dan mencuri 6 terabyte data dari perusahaan, sambil menuntut uang tebusan sebesar $50 juta. Untungnya, data yang dicuri tidak mengandung informasi pelanggan, namun organisasi lain tidak seberuntung itu.

Saat ini, LockBit telah mengalami evolusi yang cukup signifikan dalam kapabilitas dan modus operandinya. LockBit 3.0 atau dikenal sebagai LockBit Black, memiliki spesifikasi yang lebih modular dan kemampuan tidak terdeteksi (evasive) dari versi sebelumnya. LockBit 3.0 memiliki kesamaan dengan ransomware Blackmatter dan Blackcat. Hal ini adalah lazim diantara pengembang malware, dimana mereka seringkali menggunakan ulang skrip yang telah dibuat oleh programer sebelumnya (code reuse), namun berdampak efektif dalam menghindari deteksi program anti virus atau anti malware yang berbasis pola file (signature). Oleh karena itu disarankan organisasi menggunakan alat deteksi yang menggunakan statistik anomali atau heuristic.

Menurut analisis teknis yang dilakukan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC, wadah komunikasi antar negara AS – UK – Australia – Kanada di bidang keamanan siber), pelaku yang menggunakan ransomware LockBit 3.0 biasanya mendapatkan akses awal ke jaringan korban melalui eksploitasi protokol remote desktop protocol (RDP), jaringan wi-fi yang tidak aman, kampanye phishing kepada pegawai, penyalahgunaan akun internal (orang dalam), dan kelemahan aplikasi web.

Setelah berhasil masuk ke dalam sistem korban, biasanya membutuhkan waktu bagi pelaku dan malware untuk berupaya meningkatkan hak akses ke akun yang lebih tinggi (privilege escalation). LockBit 3.0 melakukan fungsi seperti enumerasi sistem yang terhubung (ID host, IP, domain, konfigurasi drive, remote access, dll); mengakhiri proses dan memulai proses baru untuk terhubung ke mesin lain; meluncurkan perintah menggunakan mesin lain; mengaktifkan pencurian kredensial (pass-the-hash); dan tidak lupa menghapus log, recycle bin, dan shadow yang berada di disk untuk menghilangkan jejak.

Saat dikompilasi, LockBit 3.0 juga dapat mengaktifkan opsi untuk menyebar melalui windows group policy dan PsExec menggunakan protokol Server Message Block (SMB) pada aplikasi berbasis sistem operasi Windows. 

Dampak Serangan Siber LockBit

Dampak serangan siber akan sangat tergantung dengan kesiapan organisasi dalam menghadapi serangan siber (cyber resilience). Resiliensi siber akan tergantung pada kemampuan organisasi dan regulator menciptakan ekosistem keamanan siber yang handal dan komprehensif meliputi people-process-technology. Mengacu pada masalah yang dialami semua layanan BSI, besar kemungkinan serangan siber ini berdampak tinggi. Kebanyakan serangan ransomware yang ada saat ini, pelaku melakukan pengunduhan terhadap basis data target (database dump) sebelum dienkripsi. Selain itu, seringkali data backup pun ikut menjadi incaran (dirusak, dienkripsi) sehingga tidak bisa dilakukan pemulihan cadangan. Jika hal ini terjadi, layanan perbankan yang menjadi korban akan lumpuh dalam jangka waktu yang panjang.

Menurut analisis yang dilakukan Cybels, versi terbaru LockBit 3.0 mengenkripsi file di mesin korban dan menambahkan ekstensi file terenkripsi sebagai “HLjkNskOq”. Program enkripsi yang dilakukan termasuk sangat cepat, bahkan lebih cepat dari mengunduh file, dan dilakukan secara paralel selama runtime. Namun sebelum mengenkripsi semua file di disk, LockBit 3.0 menggunakan program eksfiltrasi data semacam Stealbit, alat eksfiltrasi khusus yang digunakan sebelumnya pada LockBit 2.0, untuk mengirimkan hasil dump ke layanan file storage yang tersedia untuk umum, seperti MEGA.

Banyak pakar dan pengamat keamanan siber, salah satunya Avertium, menilai bahwa geng ransomware semakin matang dalam menjalankan operasinya. Mereka beroperasi tak ubahnya seperti perusahaan teknologi yang berbasis di Silicon Valley. Mereka menyewakan ruang kantor, mempekerjakan desainer grafis untuk mendesain situs web mereka, dan bahkan menyediakan layanan pelanggan bagi para korban. LockBit 3.0 memiliki fitur obrolan di situs TOR mereka di mana korban dapat berkomunikasi dengan penyerang dan menguji dekripsi file terenkripsi melalui opsi “Trial Decrypt” di situs.

Fitur-fitur ini mendukung para peretas profesional yang tadinya beroperasi sendiri atau dalam grup kecil untuk bergabung ke dalam ekosistem peretas yang makin besar. Sehingga kekuatan 1 orang peretas akan berubah menjadi kekuatan 100 orang peretas, tanpa perlu bertatap muka. Organisasi ini juga memiliki investasi dalam riset dan pengembangan produk dan sering kali lebih disiplin daripada perusahaan teknologi yang sah. Misalnya LockBit 3.0 sekarang menawarkan program bug bounty, kemungkinan sindikat lain akan mengikuti.

LockBit 3.0 menawarkan program bug bounty untuk peneliti keamanan dan peretas untuk menemukan kelemahan dalam proyek ransomware mereka. Tujuan program ini adalah membuat ransomware mereka bebas bug dan lebih stabil. Hadiahnya antara 1000 USD dan 1 juta USD untuk menemukan dan melaporkan berbagai masalah dalam struktur malware mereka. Untuk menerima pembayaran, LockBit 3.0 memilih Zcash dan Monero, yang merupakan koin kripto yang sulit dilacak.

Mitigasi dan Resiliensi Serangan Siber

Dari LockBit hingga LockBit 3.0, geng ransomware ini membuktikan bahwa mereka dinamis dan memiliki visi dalam mengembangkan bisnis ilegalnya. Grup ini memperoleh keterampilan dari kelompok lain yang telah berhasil dalam model bisnis ransomware (Conti) dan mengembangkan selangkah lebih maju. Dengan memperkenalkan jenis program bounty bug yang sama yang ditawarkan oleh perusahaan teknologi seperti Microsoft dan Google, mereka membuat kejahatan dunia maya terorganisir jauh lebih menarik – bahkan bagi peretas abu-abu (grey hacker).

Penegak hukum bukan tidak menjalankan tugasnya dalam mengidentifikasi dan menangkap kriminal; ransomware, tetapi hal ini membutuhkan 2 (dua) hal krusial : pertama, peningkatan kompetensi aparat penegak hukum dalam bidang keamanan siber; dan kedua, kerja sama lintas negara aparat penegak hukum. Banyak geng pembuat ransomware yang berhasil dilacak dan dihentikan aksinya seperti Hive yang baru-baru ini berhasil diidentifikasi dan dihentikan oleh Cyber Task Force FBI (Federal Bureau of Investigation) bekerjasama dengan Europol. FBI yang berhasil melakukan penetrasi pada sistem Hive sejak pertengahan tahun 2022 bahkan diam-diam memberikan kunci deskripsi (untuk membuka enkripsi) kepada ratusan korban Hive. Meminjam istilah sepakbola, hal ini membuktikan bahwa pertahanan efektif adalah dengan menyerang, peretas dilawan dengan peretas.

Meminjam istilah dari dunia olahraga, tim harus dilawan dengan tim. Saat ini pelaku serangan siber memiliki karakteristik bekerja sama, lingkungan bekerja yang cepat dan dinamis, dapat bekerja dimanapun tanpa terikat jarak, serta memiliki sistem penghargaan dan hukuman yang menarik. Bagaimana kondisi keamanan siber di Indonesia? Apakah organisasi yang memiliki risiko sudah saling bekerja bersama? Apakah ada security information sharing and analysis centre (ISAC) di komunitas perbankan atau di Indonesia? Apakah pegawai yang menangani keamanan siber sudah ada, sudah terampil dan sudah puas dengan kondisi pekerjaannya?  Hal – hal inilah yang harus dipikirkan oleh organisasi dan regulator (kementerian dan lembaga terkait).

Idealnya saat ini, tujuan utama organisasi dan negara adalah resiliensi siber – kemampuan organisasi/negara untuk tetap memberikan layanan walau terkena serangan siber – bukan zero incident. Dua prinsip keamanan data dan informasi sebaiknya dipedomani: (1) tidak ada sistem informasi yang 100% aman; (2) keamanan informasi bukan lah produk, tapi proses. Banyak perusahaan besar baik di dunia (Accenture, Solarwinds, Apple, Google) dan di Indonesia (BPJS, BRI, Tokopedia) yang turut menjadi korban ransomware, tidak terlepas juga kementerian/lembaga pemerintah. Insiden bisa terjadi, celah keamanan bisa dijebol. Bedanya adalah berapa lama organisasi/lembaga mampu bangkit kembali, apa dampaknya terhadap layanan yang diberikan ke pelanggan?

Cara terbaik yang bisa meminimalisir dampak negatif dari serangan ransomware adalah kebijakan dan implementasi perlindungan data yang disiplin. Kebijakan yang baik dengan bersumber pada standar dan best practice keamanan informasi (misal : ISO 27001, COBIT, OWASP, PCI-DSS) menjadi titik awal yang bagus. Indonesia sudah memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP), saat ini diperlukan percepatan penyusunan infrastruktur regulasi teknis dibawahnya. Untuk sektor perbankan, kita sudah memiliki Peraturan Otoritas Jasa Keuangan (OJK) tentang Penerapan Manajemen Risiko Penggunaan Teknologi Informasi Oleh Bank Umum (POJK 38/2016) serta Surat Edaran OJK tentang Ketahanan dan Keamanan Siber Bagi Bank Umum (SEOJK 29/2022). Hal yang harus dijaga adalah implementasinya, berupa penegakan aturan dan pengawasan kendali keamanan siber. Tugas selanjutnya adalah memastikan kompetensi pegawai yang menangani keamanan siber. Tanpa sumber daya manusia yang handal, tentunya sulit untuk mencapai implementasi tata kelola yang baik. Hal krusial lain adalah kerja sama eksternal, kerja sama dengan organisasi lain atau Lembaga pemerintah dalam hal teknis seperti penyebaran indikator ancaman (indicators of compromise), konfigurasi sistem (patching), buletin keamanan (security advisory), analisis malware, dan lain sebagainya, terbukti cukup efektif di negara seperti AS dan UK.

Apa yang Harus Dilakukan Nasabah Bank?

Dari sisi nasabah Bank, dampak dari insiden ini adalah kebocoran kredensial bank dan data pribadi lainnya. Hal ini bisa menjadi pintu masuk ancaman lain seperti pencurian identitas, phishing, pemindahan dana ilegal, penipuan, dan lain sebagainya. Untuk itu, pakar keamanan siber Dr. Pratama Dahlian Persadha membagikan tips berikut untuk meminimalisir dampak insiden ini bagi nasabah Bank:

1. Ganti password dan PIN secara berkala.

Mengubah password dan PIN adalah yang utama, dengan asumsi bahwa semua database Bank sudah dicuri oleh hacker. Walaupun data password/PIN terenkripsi, tapi banyak sistem pengamanan password yang mudah dijebol.

2. Periksa aktivitas transaksi.

Nasabah disarankan untuk secara aktif melakukan cek rekening dan aktivitas akun. Periksa pula semua rekening yang terhubung ke bank tersebut, untuk mendeteksi aktivitas yang mencurigakan. Nasabah dianjurkan untuk mengaktifkan fitur-fitur notifikasi terkait transaksi di rekeningnya.

3. Periksa ulang keamanan perangkat.

Ada kemungkinan peretas sudah memiliki data-data identitas perangkat yang biasa kita gunakan (IP address, MAC address, IMEI, dll), sehingga bisa dimanfaatkan hacker untuk masuk ke perangkat. Disarankan memasang anti virus atau anti malware pada perangkat, dan selalu meng-update aplikasi serta sistem operasi perangkat.

4. Hati-hati klik tautan pesan.

Biasanya setelah terjadi serangan siber, nasabah bank kemungkinan mendapatkan aktivitas phishing (email, sms, telepon),yang mengaku sebagai bank. Untuk itu, nasabah hanya perlu mengecek kembali legitimasi dari pesan (misal, cek ulang alamat email dan tautan yang terdapat pada pesan, bisa menggunakan alat gratis seperti Virustotal), sebelum membuka atau mengunduh file yang terlampir. Karena bisa jadi file terlampir tersebut adalah malware.

5. Jangan panik.

Dalam menghadapi insiden siber, nasabah bank harus tetap tenang dan segera melaporkan insiden ke pihak bank kalau mengalami kerugian finansial atau yang lainnya. Dengan begitu, pihak bank dapat segera mengambil tindakan yang diperlukan untuk membantu masalah.

Implementasi dan kebijakan perlindungan data yang disiplin menjadi kunci utama melindungi data dari serangan siber. Sayang sekali dengan kejadian-kejadian yang menimpa penyedia layanan elektronik di Indonesia (bank, asuransi, instansi pemerintah, swasta) lagi-lagi yang dirugikan adalah masyarakat. Masyarakat yang tidak tahu apa-apa. Masyarakat yang mempercayakan data dan informasi pribadi mereka ke penyedia dengan itikad baik kepercayaan. Ketika kepercayaan itu dilanggar, masyarakat Indonesia tidak bisa apa-apa, negara seperti hilang ketika dampak serangan siber dirasakan masyarakat. Di sini peran pemerintah sebagai regulator dan penegak hukum diharapkan bisa hadir untuk mencegah dampak serupa terjadi lagi di masa mendatang. Kenali kemampuan lawan dan kenali kekurangan diri sendiri untuk memenangkan perang siber.

***

Keterangan:

Artikel ini merupakan aset pengetahuan organisasi dengan nomor registrasi DOCTRINE UK No. 2023-05-15-Articles. Doctrine UK tidak bertanggung jawab atas pandangan yang diungkapkan dalam tulisan dan pandangan tersebut menjadi tanggung jawab penulis sepenuhnya.