Tahun lalu, PT Bank Syariah Indonesia Tbk. (BRIS) atau BSI sempat mengalami serangan siber ransomware yang signifikan. PT Bank Mandiri (Persero) Tbk. (BMRI) pun mengungkapkan informasi terkait pelaku dan metode serangan tersebut.

Dilansir dari Bisnis.com pada (28/6/2024), Senior Vice President Chief Information Security Officer Bank Mandiri, Riza Hariawan, menyatakan bahwa investigasi atas serangan tersebut mengungkapkan bahwa pelakunya berasal dari kelompok ransomware LockBit 3.0 dari Rusia.

"Alhamdulillah, pada waktu serangan di BSI, posisi lock sudah cukup lengkap, meskipun ada beberapa yang tidak lengkap. Namun, setelah tim forensik melakukan penyelidikan, kita menemukan pola yang mengarah pada pelaku serangan tersebut, yang ternyata berasal dari Rusia, dengan adanya koneksi IP yang mengarah ke Rusia," ungkap Riza dalam Seminar Indonesia Cyber Risk 2024 di Jakarta, Kamis (27/6/2024).

Riza menjelaskan bahwa serangan tersebut dimulai dengan penetrasi melalui perangkat keamanan dengan pengaturan default umum yang masih aktif. Hal ini memungkinkan penyerang untuk mendapatkan akses ke dalam sistem BSI dan melakukan pergerakan lateral.

Selanjutnya, penyerang berhasil menjalankan perangkat lunak berbahaya, yaitu e-logger, untuk mencari akses ke pengguna aktif, terutama administrator.

"Penyerang akhirnya mendapatkan akses sebagai user selevel administrator, dan pada saat itu, user administrator-nya adalah update directory. Dari situ, penyerang bisa melumpuhkan alat keamanan di BSI," jelas Riza.

Setelah berhasil mendapatkan akses tersebut, penyerang melakukan enkripsi data. Menurut Riza, setiap langkah serangan ini tidak terjadi dalam semalam. Semua aktivitas tersebut sebenarnya sudah terdeteksi dua bulan sebelumnya.

Dengan penjagaan yang memadai, serangan ini bisa dideteksi lebih awal dan dicegah sebelum merusak sistem secara menyeluruh. "Hari H adalah rangkaian penutup dari attacker," ucapnya.

Serupa dengan Ransomware yang Serang BSI

Sementara itu, Kementerian Komunikasi dan Informatika (Kemenkominfo) baru-baru ini menyebutkan bahwa serangan siber yang melumpuhkan server Pusat Data Nasional Sementara (PDNS) memiliki kemiripan dengan model serangan LockBit ke BSI. Pada Mei 2023, BSI diduga mengalami serangan siber oleh kelompok yang menamakan dirinya LockBit 3.0.

Direktur Jenderal Aplikasi Informatika Pemerintahan, Semuel Abrijani Pangerapan, mengatakan bahwa varian ransomware ini merupakan mutasi dari LockBit 3.0 yang pertama kali teridentifikasi oleh tim forensik dari Badan Siber dan Sandi Negara (BSSN).

"Mirip [LockBit BSI], tetapi berbeda variannya. Namun, kita belum bisa menyatakan di sini karena hasil forensik belum selesai," kata Semuel di Kantor Kemenkominfo, Senin (24/6/2024).

LockBit dikenal sebagai grup peretas yang menggunakan Ransomware-as-a-Service (RaaS) dan telah menginfeksi BSI sebelumnya. Versi terbaru, LockBit 3.0, atau juga dikenal sebagai Lockbit Black, memiliki kemampuan untuk menyesuaikan berbagai opsi selama kompilasi dan eksekusi muatan.

LockBit 3.0 menggunakan pendekatan modular dan mengenkripsi muatan hingga eksekusi, yang menghadirkan hambatan signifikan untuk analisis dan deteksi malware.

Penting bagi institusi keuangan seperti BSI dan lainnya untuk memastikan bahwa endpoint mereka telah terstandarisasi dengan alat keamanan yang memadai untuk mencegah akses yang tidak sah ke dalam jaringan mereka.

Selain itu, kesadaran akan ancaman siber yang terus berkembang dan implementasi langkah-langkah keamanan proaktif sangat penting untuk melindungi data dan sistem dari serangan berbahaya seperti ini.

Lihat Juga Mobil Indonesia