Pakar Ungkap Kelemahan Dua Ransomware yang Serang PDNS 2
Jakarta - Pakar Reverse Engineering Yohanes Nugroho mengungkap kelemahan dari dua ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 di Surabaya beberapa pekan lalu.
Yohanes melakukan penelusuran pada ransomware yang melumpuhkan beberapa layanan pemerintah, termasuk imigrasi, pada akhir Juni lalu. Awalnya, dia mencoba mengontak pihak pemerintah untuk meminta sampel data PDNS 2, namun permintaannya tidak digubris.
Sebagai hasilnya, Yohanes menggunakan berbagai data yang telah tersedia, termasuk Indicator of Compromised (IOC) Brain Cipher Ransomware yang dirilis Badan Siber dan Sandi Negara (BSSN). Penelusuran Yohanes menunjukkan bahwa hash (fingerprint unik sebuah file) dari file di IOC tersebut ditemukan di situs berbagi malware.
Selain itu, Yohanes mengetahui adanya ransomware kedua pada PDNS setelah grup Brain Cipher memberikan dekriptor atau kunci PDNS dua pekan lalu. Petunjuk utama adalah nama file yang diberikan pada dekriptor tersebut.
"Jadi ternyata PDNS terkena dua ransomware dari satu grup. Enggak tahu berapa banyak yang kena Lockbit, tapi yang terkena Babuk banyak, ribuan virtual machine," kata Yohanes dalam CSIRT Talk bertajuk Bedah Ransomware Pembobol PDN secara daring, Kamis (11/07/2024).
Yohanes menganalisis kedua ransomware tersebut dan menemukan beberapa kelemahan. Babuk memiliki bug atau kelemahan, seperti tidak memiliki header/checksum, dan seringkali file yang diberi extension .encrptd tidak dienkripsi, hanya mengalami perubahan nama. Jika enkriptor mengalami crash, maka file akan corrupt.
Lockbit memiliki kelemahan pada enkriptornya yang membuatnya terkadang tidak bisa mengenkripsi seluruh file, hanya melompat-lompat. Setiap file dienkrip oleh Lockbit dengan key yang berbeda, dan nama asli file juga biasanya dienkripsi. Nama asli dan key tersebut dienkripsi dengan key yang berbeda setiap 1.000 file yang mungkin bisa jadi petunjuk untuk melakukan recovery. Key per 1.000 file ini pun dienkripsi dengan public key cryptography.
Yohanes menekankan pentingnya proses forensik untuk mendapatkan file ransomware serta log agar bisa mengetahui asal-asalnya. Proses reverse engineering bisa digunakan untuk menganalisis apakah dekriptor dibutuhkan untuk memulihkan data. Jika ransomware memiliki bug atau kelemahan, pemulihan data bisa saja dilakukan tanpa menggunakan dekriptor atau kunci.
Sejak 20 Juni, PDNS 2 di Surabaya luluh lantak oleh serangan siber teknik ransomware. Ini membuat data-data PDNS terkunci tak bisa diakses oleh kementerian/lembaga pengguna layanan. Peretas diklaim meminta tebusan US$8 juta. Namun, kelompok Brain Cipher tiba-tiba muncul dan mengklaim sebagai peretas. Mereka memberikan dekriptor gratis lewat link download di situs gelap.
Pemerintah masih berupaya memulihkan sejumlah layanan yang terdampak. Hingga Selasa (9/7), sebanyak 30 layanan publik dari 12 kementerian, lembaga, dan pemerintah daerah yang terkena dampak serangan siber di PDNS 2 sudah pulih kembali melalui metode dekripsi (decrypt) atau membuka data yang dikunci hacker.
