Cyberthreat.id – Amerika Serikat mengalami serangan siber besar yang bertubi-tubi dalam enam bulan terakhir. Peretasan yang dialami SolarWinds, dalam sebuah serangan rantai pasokan (supply chain attack) melalui perangkat lunaknya, ribuan organisasi terkena dampak, tak terkecuali lembaga pemerintah. (Baca: 62 Entitas di Indonesia Rentan Peretasan Orion SolarWinds)

Bahkan, serangan itu disebut-sebut sebagai serangan canggih terbesar dalam sejarah internet di dunia. Tak lama berselang, Microsoft mengumumkan bahwa perangkat lunak emailnya, Microsoft Exchange Server, juga dieksploitasi aktif oleh peretas. (Baca: BSSN Deteksi 284 Komputer Server Terpengaruh Kerentanan Microsoft Exchange Server)

Microsoft menyebut geng Hafnium yang bertanggung jawab dalam serangan tersebut. Namun, dalam temuan baru-baru ini, sebanyak 10 geng peretas juga telah menargetkan kerentanan Microsoft Exchange Server. (Baca: Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server)

Pada 2019, pemerintah negara bagian juga mengalami momen buruk serangan siber. Tahun itu banyak pemerintah kota di AS terkena sandera serangan ransomware. (Baca: AS Disebut Mengalami Tsunami Serangan Ransomware)

Menyusul banyak insiden itu, para wali kota seluruh AS bersatu dan berikrar untuk melawan peretas ransomware dan tak akan membayar uang tebusan yang diminta. 

---

Baca: 

• Texas Tolak Tebusan Cracker, Jaringan 22 Kota Normal Kembali
• 225 Walikota di Amerika Menantang Hacker, Tak Bayar Tebusan!

---

Akhir pekan lalu, tragedi ransomware kembali terulang. Pada Jumat (7 Mei 2021), operator pipa bahan bakar untuk kawasan Pantai Timur AS, Colonial Pipeline, terkena serangan. Perusahaan pun terpaksa menutup seluruh operasional.

Serangan itu, tulis Associated Press (AP), diakses Selasa (11 Mei) dikhawatirkan mempengaruhi gejolak ekonomi. Ini lantaran Colonial Pipeline menyalurkan 45 persen bahan bakar yang dipakai di kawasan padat penduduk itu.

Untuk memahami apa yang terjadi dalam insiden tersebut, berikut ini kami rangkumkan secara sederhana, dikutip dari AP, Reuters, dan BleepingComputer.

Apa yang terjadi dengan Colonial Pipeline?

Selama akhir pekan lalu, perusahaan menghentikan sementara semua operasi pipa bahan bakar. Pada Senin (7 Mei), pemerintah AS menyatakan, penyebab serangan itu adalah perangkat lunak jahat (malware) jenis ransomware—biasa dipakai untuk mengunci data korban ketika peretas berhasil masuk ke jaringan komputer korban. Peretas menyandera data tersebut untuk meminta uang tebusan.

Sumber Reuters, peretas berhasil mendapatkan 100 gigabita (GB) data dari perusahaan. Namun, pemerintah menyatakan malware itu tidak menyebar ke sistem kritis yang mengontrol operasi pipa.

Apa efek terhadap pasokan bahan bakar?

Colonial Pipeline mengatakan, kemungkinan akan memulihkan layanan di sebagian besar pipa salurannya pada Jumat ini. Kepala Analisis Minyak Global di S&P Global Platts, Richard Joswick, mengatakan, publik tak perlu panik membeli bensin. Tidak ada krisis bahan bakar di waktu dekat.

Kecuali, “Jika itu berlarut-larut selama dua pekan, itu baru menjadi masalah,” kata dia. Jika ini terjadi, ia memperkirakan bisa terjadi lonjakan harga bahan bajar dan pom besin bakal kekurangan pasokan.

Fakta yang terjadi belakangan, harga bensin mulai naik enam sen menjadi US$2,96. Mississippi, Tennessee, dan East Coast dari Georgia hingga Delaware adalah daerah yang bakal terkena imbas harga dan pasokan bahan bakar. Jika harga melonjak lagi, misalnya, tiga sen lagi, menurut AAA, menjadi harga tertinggi sejak November 2014.

Siapa di balik serangan ransomware?

FBI menyebut bahwa aktor di balik serangan ini adalah geng peretas DarkSide. Peretas ini diduga berasal dari Rusia. Namun, dalam siaran persnya di situs webnya berbasis TOR, DarkSide membantah bahwa gengnya beroperasi karena alasan politis. Gengnya hanya termotivasi uang. Tak ada kaitan dengan pemerintah mana pun. (Baca: Serangan Ransomware ke Colonial Pipeline, Geng DarkSide Klaim Tak Terkait Pemerintah Mana Pun)

Sejauh ini belum jelas berapa uang tebusan yang diminta peretas kepada perusahaan.

Bagaimana jejak DarkSide?

DarkSide awalnya beroperasi Agustus 2020. Ransomware ini telah menyerang pengembang properti di Amerika Utara Brookfield Residential pada Agustus 2020 dan perusahaan energi Eletrobras dan Copel di Brasil awal Februari 2021.

Pertengahan Februari lalu DarkSide mengklaim mencuri 120 GB data milik perusahaan rental mobil dan truck populer di Kanada, Discount Car & Truck Rentals. (Baca: Perusahaan Rental Mobil Ternama Kanada Disandera Ransomware Hacker DarkSide, Klaim Miliki Data 120 GB)

Terbaru, mereka mengklaim memiliki data perusahaan Indonesia Exim Bank. Indonesia EximBank adalah lembaga keuangan khusus milik Pemerintah Republik Indonesia yang didirikan berdasarkan Undang-Undang Nomor 2 Tahun 2009 untuk menjalankan Pembiayaan Ekspor Nasional (PEN). (Baca: Hacker Ransomware DarkSide Bocorkan Data Diduga Milik Indonesia EximBank)

Pada Oktober 2020, DarkSide menyumbangkan US$ 20.000 uang hasil pemerasannya dari operasi ransomware-nya kepada badan amal Children International dan The Water Project. (Baca: Geng Hacker Ransomware DarkSide Sumbang Bitcoin ke Organisasi Amal)

"Seperti yang kami katakan dalam siaran pers pertama: kami hanya menargetkan perusahaan besar yang menguntungkan. Kami pikir adil bahwa sebagian dari uang yang telah mereka bayarkan akan disumbangkan. Tidak peduli seberapa buruk menurut Anda pekerjaan kami, kami senang untuk tahu bahwa kami membantu mengubah hidup seseorang,” kata DarkSide.

Namun, Children International mengatakan tidak mau menyimpan donasi jika itu berkaitan dengan peretas.

Peta jalur pipa yang dioperasikan Colonial Pipeline. | Foto: bleepingcomputer.com

---

Pada November 2020, DarkSide juga mengklaim sedang membangun situs web kebocoran datanya dan dihosting di Iran.

Karena Iran berada dalam daftar sanksi AS, hal ini menyebabkan perusahaan negosiasi ransomware, seperti Coveware, memasukkan DarkSide ke dalam daftar terbatas mereka dan tidak lagi menegosiasikan pembayaran uang tebusan untuk insiden ransomware.

DarkSide akhirnya menarik kembali klaim mereka untuk bekerja dengan layanan hosting di Iran karena takut kehilangan pembayaran tebusan.

Bagaimana operasional DarkSide?

DarkSide dioperasikan sebagai Ransomware-as-a-Service (Raas) atau ransomware yang disewakan. Mereka terdiri atas dua kelompok. Kelompok pertama sebagai operator inti dan pengembang ransomware, yang lain adalah afiliasinya yang direkrut untuk meretas jaringan dan menyebarkan ransomware.

Dari operasional itu, ada penjatahan dari hasil rampokan. Operator inti menerima sekitar 20-30 persen dari hasil uang tebusan korban, sisanya masuk ke kantor mitranya. Operator inti biasnya hanya mengembangkan malware, bernegosiasi, dan menerima uang pembayaran tebusan.

Dikutip dari BleepingComputer, media berita cybersecurity, diakses Selasa (11 Mei), geng tersebut mengatakan mulai sekarang mengevaluasi setiap serangan siber. Ini lantaran salah satu mitra kerjanya memilih target yang salah, yaitu Colonial Pipeline. Tim inti DarkSide mengatakan, mereka akan “mengevaluasi semua target sebelum mengizinkan mitra mereka meluncurkan serangan.”

Mengapa perusahaan tidak mampu mencegah serangan?

Baik Colonial Pipeline maupun penegak hukum federal belum menjelaskan bagaimana peretas melanggar jaringan komputer perusahaan.  Pakar keamanan siber menduga kuat perusahaan mungkin tidak menggunakan pertahanan siber termutakhir untuk mendeteksi anomali di jaringan sehingga bisa mencegah insiden.

Kapan layanan Colonial Pipeline bisa dipulihkan?

Perusahaan menargetkan Jumat ini semua layanan bisa pulih, tapi itu semua bergantung pada seberapa luas infeksi ransomware di jaringan. Proses untuk membuka data yang terenkripsi oleh ransomware butuh waktu beberapa hari. Kecuali, korban menyetujui membayar uang tebusan, maka peretas akan memberikan decryptor untuk membuka enkripsi.

Namun, pembayaran tersebut tampaknya bukan alternatif. Sebab, FBI melarang adanya pembayaran. Satgas Ransomware yang dibentuk oleh pemerintah, di antaranya beranggotakan Microsoft, Amazon, FBI, dan Secret Service, melarang pembayaran akan menjadi masalah selama banyak target potensial tidak siap dengan serangan dan bangkrut jika mereka tidak dapat membayar.

Satgas itu mengatakan, para pelaku ransomware perlu diungkapkan ke publik, perlu dipermalukan, dan dihukum. Mereka juga menyarankan adanya “dana tanggapan” federal sebagai bantuan keuangan kepada para korban. Harapannya, bantuan ini akan mencegah korban menuruti keinginan peretas untuk membayar uang tebusan.[]