Cyberthreat.id – Peretasan Colonial Pipeline, operator pipa bahan bakar terbesar di Pantai Timur Amerika Serikat, bermula dari pencurian satu kata sandi (password).

Itu dikatakan CEO Colonial Pipeline Joseph Blount di depan para senator AS pada Selasa (8 Juni 2021) waktu setempat, seperti dikutip dari Reuters, diakses Rabu (9 Juni).

Pertemuan panel tersebut sengaja diadakan untuk membahas serangan siber besar yang terjadi di AS selama enam bulan terakhir, terutama menyikapi insiden siber di Colonial Pipeline dan JBS, produsen daging terbesar di dunia.

Colonial Pipeline sempat menghentikan operasional mereka hampir sepekan sejak serangan siber pada 7 Mei lalu. Mereka memutuskan untuk membayar uang tebusan kepada geng peretas ransomware DarkSide sebesar Rp63 miliar karena khawatir soal keamanan dan pasokan bahan bakar.

Meski telah membayar dan mendapatkan kunci pembuka enkripsi (decryptor) dari peretas, perusahaan ternyata juga belum  pulih dari serangan. Namun, perusahaan baru pulih pada 13 Mei.

Dalam serangan ransomware, korban biasanya tak bisa mengakses file, aplikasi, atau basis data. Untuk bisa mengakses itu kembali, peretas menawari decryptor yang harus ditebus dengan mata uang kripto.

Menurut Blount, serangan itu terjadi menggunakan sistem jaringan virtual pribadi (VPN) lama yang tidak memiliki otentikasi multifaktor (MFA). Artinya, siapa saja dapat mengaksesnya melalui kata sandi, tapi tanpa dibarengi lapisan keamanan tambahan.

“Dalam kasus VPN khusus ini, hanya memiliki otentikasi satu faktor,” kata dia.

Namun, Blount menegaskan, kata sandi yang dipakai sebetulnya juga rumit. “Bukan kata sandai tipe Colonial123,” ujar dia.

Dalam pertemuan itu, sejumlah senator juga mempertanyakan langkah Colonial Pipeline membayar uang tebusan. Perusahaan seharusnya tidak cukup hanya berkonsultasi dengan pemerintah saat melakukan pembayaran.

Menjawab hal itu, Blount mengatakan, dirinya membuat keputusan membayar uang tebusan dan merahasiakan pembayaran itu karena “masalah keamanan”.

“Itu pemahaman kami, keputusan itu sepenuhnya semata-mata pada kami: apakah akan membayar uang tebusan,” ujar dia.

Ia juga menambahkan, perusahaan memang tak memiliki rencana pencegahan serangan ransomware, hanya memiliki rencana tanggap darurat. Menurut dia, perusahaan telah memberitahu FBI dalam beberapa jam sejak kejadian diketahui.

Selama lima tahun terakhir, Colonial Pipeline telah menginvestasikan lebih dari US$200 juta untuk sistem TI-nya, termasuk untuk keamanan siber pada jaringan pipanya.

Pada Senin (7 Juni), Departemen Kehakiman AS akhirnya bisa mengambil kembali sekitar US$2,3 juta uang tebusan yang dibayarkan oleh Colonial Pipeline. Sebelumnya, perusahaan mengeluarkan uang tebusan sebesar US$4,4 juta. Dalam hitungan Bitcoin yang dipulihkan sekitar 60 dari 75 Bitcoin. Meski begitu, nilai tukar Bitcoin tersebut sudah turun, berbeda saat Colonial membayar kepada peretas.

Penyitaan Bitcoin seperti itu jarang terjadi. Departemen Kehakiman mengklaim sebelumnya telah menyita dompet cryptocurrency yang dipakai oleh DarkSide untuk menerima uang tebusan dari Colonial Pipeline.

Dalam pernyataan tertulis yang diajukan ke Pengadilan AS untuk Distrik Utara California, seorang agen FBI mengakui bahwa aparat telah menguasai kunci pribadi (private key) dompet Bitcoin milik DarkSide.

Memiliki akses ke kunci pribadi dompet cryptocurrency memungkinkan akses penuh ke dompet dan uangnya. Tidak jelas bagaimana FBI mendapatkan akses kunci pribadi tersebut, tapi pada 14 Mei, geng DarkSide mengklaim telah kehilangan akses ke salah satu server pembayaran mereka, tulis BleepingComputer.

“Selain itu, beberapa jam setelah penyitaan, dana dari server pembayaran (milik kami dan klien kami) ditarik ke akun yang tidak dikenal,” kata operator ransomware itu kepada mitra afiliasinya.

Jika kunci pribadi disimpan di server tersebut untuk mengirim pembayaran ke afiliasi mereka, ada kemungkinan FBI memulihkannya saat penegak hukum menyita server, tulis BleepingComputer.

Wakil Jaksa Agung Lisa O. Monaco menyatakan, penyitaan tersebut sebagai operasi pertama yang dilakukan oleh Gugus Tugas Ransomware dan Pemerasan Digital yang belum lama diresmikan.

"Penyitaan yang diumumkan hari ini dilakukan sebagai bagian dari Gugus Tugas Ransomware dan Pemerasan Digital yang baru-baru ini diluncurkan Departemen Kehakiman, yang dibentuk untuk menyelidiki, mengganggu, dan menuntut aktivitas ransomware dan pemerasan digital. Ini adalah operasi pertama gugus tugas ini," ujar Monaco.[]