Saat ini, belahan dunia banyak mengalami serangan malware khususnya ransomware. Serangan ransomware secara umum memiliki motif finansial dan meminta uang tebusan dari korban. Brain Cipher merupakan ransomware yang tergolong baru dan berdasarkan laporan dari Broadcom/Symantec merupakan varian dari Lockbit 3.0. Nama Brain Cipher Ransomware muncul dalam catatan tebusan mereka untuk para korbannya.
Laporan Symantec ini diunggah pada 16 Juni 2024, sehari sebelum VMware melaporkan celah keamanan VMSA-2024-0012 yaitu 17 Juni 2024 atau 4 hari sebelum PDNS mengalami gangguan yaitu tanggal 20 Juni 2024. Pembuat Brain Cipher menggunakan metode double extortion-exfiltaring untuk data sensitif dan mengenkripsi data tersebut.
"Kelompok ini tampaknya melakukan pemerasan ganda, menyusup ke dalam data sensitif dan mengenkripsinya. Para korban diberikan ID enkripsi untuk digunakan di situs Web Onion milik kelompok ini untuk menghubungi mereka, "tulis Symantec dalam laman resmi mereka.
Symantec menduga mereka menggunakan cara biasa yang dipakai, termasuk melalui Initial Access Brokers (IABs), phising, mengeksploitasi kerentanan pada aplikasi yang berhadapan langsung dengan publik, atau mengorbankan pengaturan Remote Desktop Protocol (RDP).
Di Indonesia, serangan ransomware sudah beberapa kali terjadi dan mengganggu terselenggaranya pelayanan publik. Pada tanggal 20 Juni, layanan imigrasi yaitu sistem autogate dan perlintasan bandara Ditjen Imigrasi mengalami gangguan dikarenakan Pusat Data Nasional Sementara (PDNS) 2 juga mengalami gangguan diakibatkan oleh serangan ransomware ini. Serangan ransomware ini dikonfirmasi oleh Kominfo melalui konferensi pers pada tanggal 24 Juni 2024.
Ada tiga pusat data nasional sementara yang dikelola oleh Kementerian Kominfo yaitu PDNS 1 di Serpong dikelola oleh Lintas Arta, PDNS 2 dikelola oleh Telkom dan Cold Site di Batam. Pada PDNS 2 ada sekitar 282 tenant yang berasal dari intansi pemerintah pusat dan pemerintah daerah dan terdampak dengan serangan siber ini.
Layanan publik di beberapa instansi yang terdampak serangan ini mengalami kendala pemulihan dikarenakan hanya 44 instansi yang memiliki backup data. Salah satu layanan yang sudah pulih yaitu layanan imigrasi yang melakukan mitigasi dengan memindahkan layanannya ke Amazon.
Telkom Sigma Surabaya sebagai pihak ketiga penyedia infrastruktur telah mendapatkan sertifikasi Tier IV Construction Facilities dari Uptime Institute dan sertifikasi ISO 27001 terkait Sistem Manajemen Keamanan Informasi. Telkom sigma sudah menyediakan 6.000 VM untuk backup. Namun, hanya 44 instansi yang menggunakan fasilitas tersebut hal ini dikarenakan kendala dari kemampuan pengelola teknis di masing-masing instansi dalam proses backup dan kendala anggaran untuk penyediaan backup ini. Selain itu, dalam pengajuan permintaan backup ke Kementerian Kominfo.
Dalam Rapat Dengar Pendapat dengan DPR, Bapak Semmy menjelaskan bahwasanya Kementerian Kominfo merupakan pengelola PDNS dari sisi tata kelola dan pengamanan infrastruktur PDNS sedangkan aturan terkait backup data maka diminta para tenant/instansi melakukannya secara berkala. Namun ternyata, hanya sekitar 2 persen dari data di PDN memiliki backup. Oleh karena itu, Bapak Menteri Kominfo akan segera mengeluarkan Keputusan Menteri terkait kewajiban melakukan Backup.
Bapak Dirjen Aptika juga memberikan penjelasan terkait backup data maka Kementerian Kominfo adalah pemroses data (data processor) sedangkan masing-masing instansi merupakan pengendali data pribadi (data controller). Kominfo tidak mengetahui data-data apa saja yang disimpan. Instansi wajib melakukan pengamanan data tersebut.
BSSN juga menjelaskan bahwa sudah mengirimkan surat kepada instansi pusat dan daerah terkait prediksi serangan ransomware serta disaat serangan terjadi secara aktif tim CSIRTnya langsung melakukan penanganan insiden bersama dengan tim kominfo, telkom, dan polri. Serta saat ini masih berlangsung proses forensik digital. Untuk kedepannya dalam proses pengembangan infrastruktur informasi kritikal yaitu Pusat Data Nasional (PDN) mulai dari desain awal sudah dilibatkan BSSN.
Para pelaku meminta tebusan sebesar US$8 juta atau setara dengan Rp 131 Miliar. Namun pemerintah sudah memutuskan untuk tidak membayar tebusan tersebut. Fokus pemerintah adalah melakukan pemulihan layanan publik secara bertahap, melakukan forensik digital dan root cause analysis, melakukan strategi jangka menengah dan panjang untuk perbaikan di masa depan.
Ada beberapa rekomendasi dari BSSN untuk perbaikan layanan baik people, process maupun technology yaitu dilakukan perbaikan tata kelola keamanan siber dan manajemen risiko pada PDNS melibatkan unit kerja di BSSN termasuk setiap layanan yang akan dihosting harus lulus security assessment BSSN. Kemudian mendorong tenant di PDNS untuk melakukan backup informasi dan perangkat lunak yang berada di PDNS secara berkala. Terakhir membentuk CSIRT khusus PDNS. Dari rapat dengar pendapat antara pemerintah dan DPR juga akan dilakukan pembentukan Satgas nasional perlindungan keamanan siber PDNS dan mendorong agar RUU keamanan siber segera diundangkan untuk menjadi dasar hukum keamanan siber di Indonesia.
Komentar