Jagat digital Indonesia baru saja dihebohkan dengan jebolnya sistem pertahanan Pusat Data Nasional Sementara akibat serangan ransomware. Hal itu membuat beberapa layanan publik terganggu mulai dari imigrasi hingga e-KTP. Ironisnya, data-data yang tersimpan di dalam PDNS dan terserang ransomware tidak dapat dipulihkan.
"Dari saat kejadian hingga sekarang, kami telah dibantu oleh BSSN dan berkolaborasi dengan semua pihak terkait seperti Kominfo, serta tenant-tenant yang terdampak, termasuk Bareskrim. Kami berupaya keras menggunakan sumber daya yang tersedia untuk melakukan pemulihan," kata Direktur Network & IT Solution PT Telkom, Herlan Wijanarko, dalam konferensi pers di Kemenkominfo.
Herlan menegaskan data yang terkena ransomware di PDNS Surabaya sudah tidak dapat dikembalikan akibat serangan ransomware. "Data yang terkena serangan ransomware tidak dapat dipulihkan. Kami mengidentifikasi bahwa sebagian tenant telah memiliki cadangan data, baik di Surabaya maupun Batam, sekitar 44 tenant," ujar Herlan.
Herlan menjelaskan bahwa proses pemulihan dilakukan dalam dua tahap. "Pertama, kami melakukan kontak dan klarifikasi dengan para tenant untuk mengaktifkan layanan mereka kembali melalui medium-temporer yang telah kami siapkan di PDN 1 dan medium lainnya," tambahnya.
Telkom telah menghubungi semua tenant yang terdampak untuk memastikan ketersediaan cadangan data lokal. "Kami telah berkomunikasi dengan semua tenant di PDNS 1, melakukan klarifikasi apakah mereka memiliki cadangan data atau tidak, serta kondisi layanan mereka. Hasilnya menunjukkan ada yang memiliki cadangan, ada yang tidak, beberapa layanan tidak aktif, dan beberapa masih dalam proses verifikasi," jelasnya.
"Jika tidak ada cadangan data, kami akan mengulangi proses ini dengan menyiapkan lingkungan baru sebagai pengganti PDNS 2 yang terkunci, dengan implementasi semua aspek keamanan yang diperoleh dari BSSN, untuk memastikan lingkungan yang lebih aman sebelum pindah ke lingkungan baru," paparnya.
Minta Uang Tebusan
Pusat Data Nasional (PDN)
Server Pusat Data Nasional Sementara (PDNS) mengalami gangguan sejak hari Kamis 20 Juni 2024 lalu, sehingga menyebabkan beberapa layanan publik termasuk layanan imigrasi terkendala. Badan Siber dan Sandi Negara (BSSN) Republik Indonesia mengungkap insiden itu terjadi karena ulah Ransomware.
Kepala BSSN Hinsa Siburian mengatakan telah berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo) Republik Indonesia dan pihak lain dalam upaya Penanganan gangguan ekosistem Layanan Komputasi Awan Pemerintah, khususnya pada Pusat Data Nasional Sementara (PDNS).
“Hasil identifikasi kami atas kendala yang terjadi pada Pusat Data Nasional Sementara akibat serangan serangan siber berjenis Ransomware,” ujarnyasaat memberikan keterangan pers di Kantor Kementerian Komunikasi dan Informatika.
Hinsa Siburian mengatakan, dari insiden ransomware tersebut, BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas malicious dapat berjalan.
Pelaku serangan siber pun meminta tebusan sebesar USD 8 juta atau setara Rp 131 miliar. Pusat Data Nasional Sementara yang mengalami insiden serangan siber ini berada di Surabaya, Jawa Timur. Adapun sampai saat ini pemerintah terus berusaha untuk memulihkan semuanya kembali menjadi normal.
"Di darkweb itu kita ada jalan ke sana ya, kita ikuti dan mereka minta tebusan USD 8 juta," ujar Direktur Networks & IT Solutions Telkom, Herlan Wijanarko di Gedung Kementerian
Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus filesystem penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai didisable dan crash.
“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami Crash dan tidak bisa beroperasi,” jelas Hinsa.
Saat ini, sambung Hinsa, BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut.
“BSSN Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta sampai dengan hari ini masih terus melakukan investigasi secara menyeluruh mengacu pada bukti-bukti forensik yang telah didapat. Dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut,” ungkap Hinsa.
Lebih lanjut Kepala BSSN menjelaskan, dalam insiden ini BSSN telah berhasil menemukan sumber serangan yang berasal dari file ransomware dengan nama Brain Cipher Ransomware. Ransomware ini adalah pengembangan terbaru dari ransomware lockbit 3.0. Sampel ransomware selanjutnya akan dilakukan analisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya.
“Hal ini menjadi penting untuk lesson learned dan upaya mitigasi agar insiden serupa tidak terjadi lagi,” ujar Hinsa.
Adapun per- hari ini Senin 24 Juni 2024 sejak pukul 07.00 WIB, Layanan Keimigrasian terdampak sudah beroperasi dengan normal. Diantaranya Layanan Visa dan Izin Tinggal, Layanan Tempat Pemeriksaan Imigrasi (TPI), Layanan Paspor, Layanan Visa on Arrival (VOA) on boarding, dan Layanan Manajemen Dokumen Keimigrasian.
Baca Juga: Belajar dari Peretasan PDN, Ini Tips Hindari Brain Cipher Ransomware
Baca Juga: Bahaya Serangan Firmware di Pusat Data dan Langkah Pengamanannya