Bukan Cuma Satu, Rupanya Ada Dua Ransomware yang Serang PDNS

Teknologi.id - Pusat Data Nasional Sementara (PDNS) 2 baru saja mengalami serangan ransomware yang tidak hanya melibatkan satu, tetapi dua jenis ransomware. Brain Cipher telah merilis kunci dekripsi untuk salah satu ransomware tersebut, tetapi informasi mengenai kedua ransomware ini baru terungkap berkat investigasi Yohanes Nugroho, seorang programer yang melakukan reverse engineering.

Dua Ransomware yang Menyerang PDNS 2

Yohanes Nugroho mengungkapkan bahwa PDNS 2 diserang oleh ransomware LockBit yang menargetkan Windows dan Babuk yang menargetkan hypervisor ESXI. Menariknya, informasi tentang serangan Babuk ini tidak diungkap oleh Badan Siber dan Sandi Negara (BSSN). Melalui postingannya di X/Twitter pada Kamis (4/7/2024), Yohanes menjelaskan bahwa kedua ransomware ini berasal dari grup yang sama, yaitu Brain Cipher. LockBit menyerang sistem Windows, sementara Babuk menyerang virtual machine yang dijalankan oleh ESXI.

Supaya jelas: kedua ransomware ini dari satu group (Brain Cipher). Windows diserang dengan LockBit, dan VM di ESXI diserang dengan Babuk. Kedua malware ini buildernya udah dibocorkan di Internet sejak beberapa tahun lalu.

— yohanes (@yohanes) July 3, 2024

Kunci Dekripsi untuk ESXI dan Permintaan untuk LockBit

Brain Cipher telah memberikan kunci dekripsi untuk ransomware Babuk yang menyerang ESXI, tetapi kunci untuk LockBit belum tersedia. Yohanes mengatakan bahwa mereka sedang meminta kunci dekripsi LockBit kepada pembuat ransomware tersebut.

Penjelasan Teknikal

barusan saya update tulisan saya, ada hal yang penting yang saya tambahkan: pic.twitter.com/Tf6RZOWK2O

— yohanes (@yohanes) July 4, 2024

Dalam postingan blognya di compactbyte, Yohanes menjelaskan bahwa ransomware LockBit menggunakan enkripsi Salsa20, sedangkan ransomware Babuk yang menyerang server ESXI menggunakan enkripsi SOSEMANUK. ESXI adalah sebuah hypervisor, yaitu perangkat lunak untuk menjalankan virtual machine. Dengan demikian, serangan tersebut tidak hanya berdampak pada sistem Windows, tetapi juga pada hypervisor ESXI.

Kebocoran Builder dan Source Code

Yohanes juga mengungkapkan bahwa builder dari kedua ransomware ini telah bocor di internet sejak beberapa tahun lalu. Khusus untuk Babuk, source codenya juga bocor, sehingga ransomware ini bisa dimodifikasi dan bahkan dipasangi backdoor dengan mudah.

Baca juga: Kominfo Investigasi Dugaan Pembocoran Data Rahasia Server PDN oleh "Orang Dalam"

Pertanyaan untuk BSSN

Yohanes mempertanyakan mengapa BSSN tidak menyebutkan ransomware Babuk dalam indicators of compromise (IOC) yang mereka rilis. Menurutnya, pihak BSSN atau Kominfo pasti mengetahui bahwa ESXI terkena ransomware. Meskipun enkriptornya mungkin sudah dihapus oleh penyerang, mereka pasti menemukan catatan tebusan (ransom note).

Kunci Dekripsi LockBit Tidak Diberikan

Menurut Yohanes, pembuat malware menyatakan bahwa kunci untuk ransomware LockBit tidak perlu diberikan karena kunci ESXI sudah cukup untuk memulihkan data di PDNS 2. Rekan Yohanes, Joshua Sinambela, seorang ahli forensik digital, telah bertanya kepada pembuat malware tersebut dan mendapatkan jawaban bahwa kunci ESXI sudah cukup untuk proses restorasi.

Baca Berita dan Artikel yang lain di Google News.

(dwk)