Serangan Ransomware Terhadap Bank Indonesia: Serangan Siber Indonesia yang ketiga tahun ini
Bukan rahasia lagi bahwa Indonesia adalah salah satu target utama ransomware selama beberapa tahun terakhir. Pada 2019, 2020 dan 2021 Emisoft melaporkan bahwa Indonesia dan India bergantian setiap tiga bulan sebagai pemimpin global dalam menerima serangan ransomware. Meskipun Indonesia menempati urutan kedua setelah India pada Q4 2021, negara tersebut memimpin secara global menerima lebih dari 18% dari semua serangan. Diperkirakan bahwa prevalensi perangkat lunak bajakan di kedua negara dapat memfasilitasi banyak serangan ransomware.
Gambar 1 Blogpost Emisoft: Statistik Ransomware untuk 2021: Laporan Q4
Pada 17 Januari 2022, Indonesia mengalami serangan siber ketiga di bulan pertama 2022. Serangan terjadi sebelumnya di Kementerian Kesehatan dan pada 4 Januari, kampanye bertarget di seluruh negara yang terpisah yang mengarah ke kebocoran kredensial data besar-besaran terjadi.
Bank Indonesia mengungkapkan bahwa mereka diserang oleh ransomware pada 17 Des 2021. Serangan itu ditargetkan di kantor bank pusat di Bengkulu di pulau Sumatera di mana BI menyatakan bahwa para pelaku diduga mencuri data karyawan “tidak penting” sebelum menyebarkan muatan ransomware pada beberapa perangkat di jaringannya, tetapi operasi bank tidak terganggu. Erwin Haryono, kepala departemen komunikasi BI mengklaim serangan itu telah dimitigasi sebelum mempengaruhi layanan publik bank. "Kami diserang, tapi sejauh ini kami mengambil langkah antisipatif dan yang terpenting pelayanan publik di Bank Indonesia tidak terganggu sama sekali," kata Haryono.
Menurut umpan twitter platform pemantauan aktivitas berbahaya The DarkTracer, Conti Ransomware Group, memohon untuk berbeda, mengklaim mereka memperoleh 130GB data dan mengkompromikan 368 sistem (jauh dari 16 PC yang awalnya dilaporkan).
Figure 2 This tweet is unavailable
Conti Group menawarkan Ransomware-as-a-Service (RaaS) dan diduga terkait dengan Wizard Spider, kelompok kejahatan dunia maya berbasis di Rusia yang terkenal karena serangan malware menggunakan BazarLoader dan Ryuk.
BI mengalami serangan cyber Distributed Denial of Service (DDoS) sebelumnya pada tahun 2016 tetapi tidak ada dampak moneter.
Meskipun BI tidak mengungkapkan bagaimana serangan itu terjadi, taktik serangan yang paling umum digunakan adalah email phishing, rekayasa sosial untuk mengumpulkan informasi untuk menebak kata sandi yang lemah, dan serangan lubang air. Serangan lubang air (yang dapat dimulai dengan phishing atau rekayasa sosial) mengarahkan pengguna ke situs web berbahaya tempat malware diunduh tanpa sepengetahuan pengguna. Pada dasarnya, serangan ini ditargetkan pada orang-orang, mata rantai terlemah dalam rantai pembunuhan serangan siber. Ada kemungkinan bahwa kampanye pencurian kredensial besar-besaran mungkin telah berkontribusi pada serangan ransomware jika salah satu dari 502.581 kredensial pengguna Indonesia mengizinkan akses ke sistem BI.
Bank Indonesia menyatakan mereka memiliki strategi mitigasi untuk serangan semacam itu. Menurut Anton Setiawan, juru bicara Badan Siber dan Sandi Negara (BSSN), BI pada umumnya akan melakukan hal-hal berikut jika terjadi serangan siber:
1. Isolasi PC yang terkena ransomware dan putuskan sambungan server kategori kritis agar tidak terpengaruh oleh ransomware.
2. Melakukan pemberantasan [pemusnahan] file yang dicurigai sebagai sumber penyebaran ransomware.
3. Melakukan monitoring terkait indikasi pemusnahan data yang terjadi.
Namun, di era ancaman persisten canggih (APT) dan ransomware yang diaktifkan AI, langkah-langkah itu saja tidak cukup untuk menghentikan setiap langkah dalam rantai pembunuhan serangan ransomware. Ancaman generasi baru bersembunyi diam-diam di lingkungan dan tertidur selama berbulan-bulan sebelum mengaktifkan kembali dan menyerang lagi. Lebih buruk lagi, mekanisme komunikasi yang digunakan malware generasi berikutnya ini sangat tersembunyi dan hampir tidak mungkin dideteksi tanpa alat deteksi yang tepat.
Gambar 3 Mengurangi Rantai Pembunuh Ransomware
Pengguna harus bekerja dengan mitra keamanan atau vendor yang menyediakan solusi kuat untuk ransomware yang terbukti secara global untuk memblokir setiap langkah dalam rantai pembunuhan serangan ransomware. Solusinya seharusnya tidak hanya mendeteksi dan mencegah penyebaran lateral ransomware berbahaya berbasis AI yang tidak aktif menggunakan platform pemburu & respons ancaman, tetapi segera mendeteksi dan menghentikan dekripsi file di seluruh organisasi menggunakan kemampuan perlindungan titik akhir canggih seperti Ransomware Honeypot. Pengguna tidak boleh bergantung pada teknologi dan solusi lama yang mencoba menebak file penting mana yang harus dicadangkan karena sistem dengan cepat dienkripsi, hanya untuk kemudian menemukan bahwa cadangan online juga dienkripsi (lihat! Ransomware berkemampuan AI!).
Ransomware telah menjadi ancaman siber terbesar di seluruh dunia selama pandemi. Tetapi sementara pandemi pada akhirnya akan surut, ransomware sebagai ancaman global baru saja dimulai. Murah dan mudah bagi penyerang untuk meluncurkan serangan, terutama dengan penjahat dunia maya yang menawarkan banyak situs web RaaS di Web Gelap. Di Indonesia, organisasi perlu menerima kenyataan bahwa, saat ini, serangan ransomware adalah masalah “kapan” bukan “jika”. Satu-satunya pertanyaan yang harus ditanyakan oleh organisasi adalah, apakah Anda memiliki perlindungan keamanan untuk mencegah atau meminimalkan kerusakan dari serangan ransomware seperti itu terhadap Bank Indonesia?