Sedang ramai di berita bahwa PDNS atau Pusat Data Nasional Sementara telah diserang dengan ransomeware LockBit 3.0 dengan varian terbaru yaitu Brain Chiper.

Pusat Data Nasional (PDN) merupakan fasilitas pusat data untuk keperluan penempatan, penyimpanan dan pengolahan data, serta pemulihan data yang nantinya digunakan secara bagi data atau data sharing oleh instansi pusat dan pemerintah daerah, dan saling terhubung di Indonesia

Menurut Kompas.com Serangan ke PDNS itu diketahui setelah tim BSSN, Kementerian Komunikasi dan Informatika (Kominfo), dan Cybercrime Polri melakukan investigasi, setelah gangguan terjadi pada Kamis pekan lalu (20/6/2024).



Apa tiu Ransomeware?

Menurut ibm.com Ransomware adalah jenis malware (Malicious software) yang menyandera data atau perangkat sensitif korban, mengancam akan menguncinya kecuali korban membayar uang tebusan kepada penyerang.

Malicious Softwareatau perangkat lunak berbahaya adalah program komputer apapun, termasuk ransomware, trojan horse, dan spyware, yang sengaja ditulis untuk membahayakan sistem komputer atau penggunanya. - ibm.com

Lockbit 3.0

Lockbit 3.0 adalah versi terbaru dari ransomware Lockbit yang pertama kali ditemukan pada Maret 2022. Malware Ini digunakan oleh penjahat dunia maya atau Cybercriminals untuk melakukan serangan ransomware terhadap berbagai sektor dan organisasi di seluruh dunia termasuk Indonesia yang sekarang sedang menyerang PDNS atau Pusat Data Nasional Sementara.

Setelah memperoleh akses ke sistem korban, penjahat dunia maya menggunakan ransomware untuk mengenkripsi data dan menuntut uang tebusan agar akses ke file sensitif dapat dipulihkan, serupa dengan tujuan varian ransomware lainnya.
Pelaku ancaman ransomware Lockbit 3.0 menggunakan serangkaian teknik untuk mendapatkan akses awal ke jaringan korban, seperti:

1. Serangan brute force terhadap kredensial pengguna untuk menyusupi akses Remote Desktop Protocol (RDP) dan Virtual Private Network (VPN) yang terhubung ke internet

2. Penggunaan kredensial yang dibeli atau dicuri dari broker akses awal

3. Serangan phishing untuk mendapatkan kredensial pengguna

4. Eksploitasi kerentanan yang diketahui dalam perangkat lunak dan kesalahan konfigurasi keamanan



Jika melihat cara dan taktik yang dapat digunakan, data center PDNS diserang melalui kesalahan konfigurasi keamanan di dalam sistem windows defender yang dimiliki PDNS. Hal ini terbukti dari berita yang beredar bahwa adanya konfigurasi windows defender yang berubah. Dikutip dari Kompas.com, Juru bicara BSSN Ariandi Putra menjelaskan, berdasarkan Hasil Analis Forensik Sementara, ditemukan adanya upaya penonaktifan fitur keamanan Windows Defender mulai 17 Juni 2024 pukul 23.15 WIB.


Bagaimana cara mitigasi Ransomeware?


ACSC ASD (The Australian Signals Directorate’s Australian Cyber Security Centre) merekomendasikan organisasi untuk menerapkan mitigasi berikut:

1. Aktifkan dan terapkan autentikasi multifaktor untuk mencegah aktor mengakses akun valid dengan kredensial yang dicuri.

2. Selalu perbarui semua sistem operasi, perangkat lunak, dan firmware. Menambal sistem perangkat lunak dan perangkat keras yang rentan dalam waktu 24 hingga 48 jam sejak kerentanan terungkap.

3. Memantau dengan cermat akses pengguna ke sistem dan kebijakan kata sandi yang kuat sangatlah penting.

4. Segmentasi jaringan dapat membantu mencegah penyebaran ransomware dengan mengendalikan arus lalu lintas antara dan akses ke berbagai subjaringan dan dengan membatasi pergerakan lateral musuh.

5. Pemfilteran lalu lintas jaringan menggunakan aturan firewall stateful akan mencegah lalu lintas tidak sah melintasi batas jaringan.

6. Hentikan koneksi VPN di segmen jaringan terkontrol, hanya mengizinkan koneksi resmi.

7. Blokir akses ke Uniform Resource Identifier (URI) di luar 1 juta situs web atau domain teratas yang terdaftar dalam sebulan terakhir.

8. Tinjau pengontrol domain, server, stasiun kerja, dan direktori aktif untuk akun baru dan/atau tidak dikenal.

9. Konfigurasikan Registri Windows agar memerlukan persetujuan Kontrol Akses Pengguna (UAC) untuk setiap operasi PsExec yang memerlukan hak istimewa administrator untuk mengurangi risiko perpindahan lateral oleh PsExec.

10. Terapkan pemantauan log hypervisor dan pastikan bahwa log diproses pada sistem terpisah, sebaiknya dengan SIEM.

11. Menerapkan Kontrol Aplikasi (minimal dalam mode monitor untuk menangkap aktivitas yang tidak biasa).

12. Pelaku ancaman menggunakan teknik malware tanpa file yang berarti pemerintah, dunia usaha, dan individu harus memantau eksekusi perangkat lunak apa pun yang tidak dijadwalkan atau dijalankan oleh program tepercaya atau pengguna tepercaya.

13. Lakukan pencadangan harian dan jaga agar tetap offline dan terenkripsi. ACSC ASD merekomendasikan bisnis untuk mengikuti strategi cadangan 3-2-1. Artinya organisasi harus memiliki 3 salinan data (1 salinan data produksi dan 2 salinan cadangan) pada dua media berbeda seperti disk dan tape dengan satu salinan di luar lokasi untuk pemulihan bencana.

14. Rencana pencadangan dan pemulihan bencana yang kuat dan dilaksanakan dengan baik akan memberikan pemerintah, dunia usaha, dan individu kekuatan yang lebih besar ketika mengambil keputusan untuk memulihkan file mereka jika mereka menjadi korban.

15. Menyimpan data sensitif dengan aman dan secara aktif mengurangi data yang tersedia di jaringan bersama akan mengurangi dampak pemerasan dari kelompok ransomware jika file tersebut dicuri.