
Pengumuman LockBit 3.0 di situswenya di darkweb. Foto: Cyberthreat.id/Andi Nugroho
Pengumuman LockBit 3.0 di situswenya di darkweb. Foto: Cyberthreat.id/Andi Nugroho
Cyberthreat.id – Teka-teki serangan siber yang dialami oleh PT Bank Syariah Indonesia (BSI) akhirnya terjawab. Geng peretas ransomware LockBit 3.0 akhirnya memasukkan BSI (bankbsi.co.id) sebagai daftar korban di situswebnya di dark web yang hanya bisa diakses melalui jaringan TOR.
"Pada 8 Mei (2023), kami menyerang Bank Syariah Indonesia, sepenuhnya (kami) menghentikan semua layanan bank," tulis peretas di situswebnya.
Peretas juga menyindir penjelasan dari BSI yang mengatakan bahwa gangguan layanan selama hampir sepekan ini adalah soal maintenance.
"Manajemen bank tidak punya alasan yang lebih baik selain berbohong kepada pelanggan dan mitra mereka; melaporkan adanya 'pekerjaan teknis' yang sedang dilakukan," peretas menambahkan.
Berita terkait:
Di situswebnya, peretas mengumumkan bahwa data perusahaan akan dipublikasikan pada tanggal 15 Mei 2023 pukul 21.09 UTC.
"Kami mencuri sekitar 1,5 terabita data pribadi," bunyi pengumuman itu
Data yang telah dicuri antara lain:
"Kami memberikan waktu 72 jam kepada manajemen bank untuk menghubungi LockbitSupp dan menyelesaikan masalah tersebut,"kata peretas.
Mereka juga berpesan kepada semua pelanggan dan mitra bank yang datanya telah dicuri.
"Jika Bank Syariah Indonesia menghargai reputasinya, pelanggan dan mitra, mereka akan menghubungi kami dan Anda tidak akan terancam. Jika tidak, kami menyarankan Anda untuk menghentikan kerja sama apa pun dengan perusahaan ini," demikian ultimatum peretas.
Tangkapan layar dari data yang dicuri oleh LockBit 3.0
Sebelumnya, pada hari pertama gangguan seluruh layanan baik mobile banking, internet banking, jaringan ATM, dan kantor cabang, BSI mengatakan sedang melakukan maintenance.
Direktur Utama PT Bank Syariah Indonesia Tbk, Hery Gunardi, dalam keterangan tertulisnya, Rabu (10 Mei), Hery mengatakan, BSI sedang melakukan penelusuran atas serangan siber.
Karena, "Hal tersebut perlu pembuktian lebih lanjut melalui audit dan digital forensik," ujar Hery.
Pernyataan itu jelas-jelas tak menggambarkan apa pun tentang lanskap serangan siber seperti yang disampaikan oleh Menteri BUMN Erick Thohir sebelumnya.
Justru, alih-alih mempertegas atau menjelaskan lebih detail tentang serangan siber, pernyataan Hery menjadi kontrakdiktif—mengesankan bahwa pernyataan Menteri BUMN "perlu" dikoreksi.
Hery meminta maaf atas "ketidaknyamanan nasabah karena kendala dalam mengakses layanan BSI pada 8 Mei 2023." Menurut dia, normalisasi layanan telah dijalankan pada jaringan ATM dan kantor cabang pada Selasa siang dan secara bertahap pada layanan BSI mobile.
Memang layanan BSI mobile, jaringan ATM, dan kantor cabang telah pulih sejak Selasa (9 Mei) siang—namun sejumlah pengguna masih mengeluhkan belum bisa transfer dan cek saldo hingga Jumat (12 Mei) malam. Ini dialami oleh pengguna Wawan K, warga Cilacap, Jawa Tengah. "Kalau login dan cek saldo bisa, sementara untuk QRIS belum bisa. Dicoba untuk bayar QRIS belum bisa," ujar dia kepada Cyberthreat.id.
Sementara itu, pengguna asal Bandung, Ibu Tini, seorang terapis, mengatakan, sudah bisa melakukan transaksi dengan BSI mobile. "Tidak ada masalah, lancar," katanya.
Namun, layanan internet banking belum bisa diakses dan pada Jumat malam juga masih dalam kondisi eror.
Pakar keamanan siber Muhammad Salahuddien mengatakan, gangguan layanan BSI memang menyentuh pada inti layanan bank, bukan sekadar di level layanan seperti ATM dan aplikasi.
"Karena basis data tak bisa diakses, ini jelas terjadi gangguan pada inti layanan" katanya. Terlebih, kata dia, masa pemulihannya juga sangat lama. Satu hal yang membuat bisa menciptakan gangguan lama seperti itu, kata dia, tak ada yang lain kecuali serangan siber, terutama ransomware.
Melihat pernyataan Dirut BSI yang masih ingin melakukan forensik digital dinilai Salahuddien bahwa bank sama sekali tak memiliki visibilitas terhadap sebuah serangan siber, terutama ransomware. "Kan mereka belum tahu dari mana titik awal serangan. Seharusnya jika memiliki visibility terhadap serangan ransomware mereka sudah tahu sumber awal infeksi. Tapi, ini masih mau melakukan forensik digital," tutur Deputy Director of Operation Cyber Security Independence Resilience Team of Indonesia (CSIRT.ID) kepada Cyberthreat.id, Jumat malam.
Mengenai layanan yang diakses berbeda-beda di sejumlah wilayah, Salahuddien memperkirakan BSI melakukan setelan data per klaster sehingga ada perbedaan akses. Ketika klaster A, misalnya, selesai dinormalkan dan dianggap tak ada masalah, baru diaktifkan.
Ransomware ialah perangkat lunak jahat (malware) yang digunakan peretas untuk menginfeksi komputer dan mengenkripsi file komputer hingga uang tebusan dibayarkan. Dalam infeksi awal ke jaringan korban, peretas bisa melakukan sendiri atau bekerja sama dengan geng peretas lain. Setelah infeksi awal, ransomware akan berusaha menyebar ke sistem yang terhubung, termasuk drive penyimpanan bersama dan komputer lain yang dapat diakses.
Jika tuntutan tebusan tidak dipenuhi, file atau data terenkripsi biasanya akan tetap terenkripsi dan tidak tersedia lagi bagi korban. Bahkan, setelah uang tebusan dibayarkan untuk membuka kunci file terenkripsi, terkadang peretas akan meminta pembayaran tambahan, menghapus data korban, menolak mendekripsi data, atau menolak memberikan kunci dekripsi yang berfungsi untuk memulihkan akses korban.
Dalam perjalanannya, operasional mereka berkembang, yaitu melakukan serangan ganda. Setelah mengenkripsi, mereka juga mengambil data tersebut dan mengancam akan mempublikasikan ke dark web kecuali uang tebusan dibayar. Sebetulnya, tidak disarankan untuk membayar uang tebusan ke bandit ransomware karena tidak ada jaminan decryptor yang ditawarkan bisa memulihkan file yang terenkripsi.
LockBit 3.0 adalah kelanjutan dari ransomware LockBit 2.0 dan LockBit. Dalam nasihat keamanan sibernya pada 16 Maret 2023, Cyebescurity & Infrastructure Security Agency (CISA), badan keamanan sibernya Amerika Serikat, menyebut operasional LockBit menggunakan model Ransomware-as-a-Service (RaaS)—pendek kata bisa disewakan atau menjalin afiliasi dengan kelompok lain.
Sejak Januari 2020, LockBit menyasarkan organisasi besar dan infrastruktur penting. Di kalangan keamanan siber, namanya juga dikenal sebagai "LockBit Black"—kemampuannya hampir mirip dengan ransomware Blackmatter dan Blackcat.
Menurut CISA, LockBit 3.0 hanya akan menginfeksi mesin yang tidak memiliki setelan bahasa yang cocok dalam daftar, kecuali telah ditentukan sebelumnya. Daftar pengecualian bahasa yaitu, tapi tidak terbatas pada, Rumania (Moldova), Arab (Suriah), dan Tatar (Rusia). Jika bahasa dari daftar pengecualian terdeteksi, LockBit 3.0 akan menghentikan eksekusi tanpa menginfeksi sistem.
Untuk menginfeksi mesin korban, peretas biasanya melalui eksploitasi protokol desktop jarak jauh (RDP), drive-by compromise, serangan phishing, penyalahgunaan akun valid, dan eksploitasi aplikasi yang terkoneksi internet.[]
[]
Share: