Jakarta, CNN Indonesia —
Ilmuwan Reverse Engineering Yohanes Nugroho mengungkap kelemahan dari dua ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 di Surabaya beberapa pekan lalu.
Yohanes melakukan penelusuran pada ransomware yang menjadi dalang lumpuhnya beberapa layanan pemerintah, termasuk imigrasi, pada akhir Juni lalu.
Awalnya, Ia mengaku mencoba mengontak pihak pemerintah untuk meminta sampel data PDNS 2. Sekalipun, permintaannya tidak digubris pemerintah.
Alhasil, Ia melakukan penelusuran dari berbagai data yang Sebelumnya tersedia, salah satunya Indicator of Compromised (IOC) Brain Cipher Ransomware yang dirilis Badan Siber dan Sandi Negara (BSSN).
Penelusuran Yohanes menunjukkan hash (fingerprint Menarik sebuah file) dari file di IOC tersebut ditemukan di situs sharing malware.
Sementara itu, Yohanes mengetahui ada ransomware kedua pada PDNS usai grup Brain Cipher Menyediakan dekriptor atau kunci PDNS dua pekan lalu. Salah satu yang jadi petunjuk, kata Yohanes, Merupakan nama file yang diberikan pada dekriptor tersebut.
“Jadi ternyata PDN terkena dua ransomware dari satu grup. Enggak tahu berapa banyak yang kena Lockbit, tapi yang terkena Babuk banyak, ribuan virtual machine,” katanya dalam CSIRT Talk bertajuk Bedah Ransomware Pembobol PDN secara daring, Kamis (11/7).
Yohanes kemudian menganalisis kedua ransomware tersebut. Hasil analisis ini bersama dengan beberapa penelusuran yang Sebelumnya dipublikasikan mengungkap kedua ransomware itu ternyata punya beberapa kelemahan.
Yohanes menyebut Babuk memiliki bug atau kelemahan, salah satunya tidak memiliki header/cheksum, selain mengandalkan extension .encrptd.
Kemudian, file yang diberi extension terkadang tidak dienkripsi dan hanya mengalami perubahan nama. Apalagi, Bila enkripptor mengalami crash, maka file Akan segera corrupt.
Sementara itu, Lockbit disebut memiliki kelemahan pada enkriptornya yang membuatnya terkadang tidak bisa mengenkripsi seluruh file, dan hanya melompat-lompat.
Yohanes menyebut setiap file dienkrip oleh Lockbit dengan key yang berbeda, dan nama asli file Bahkan biasanya dienkripsi.
Nama asli dan key tersebut dienkripsi dengan key yang berbeda setiap 1.000 file yang Mungkin Mungkin petunjuk untuk melakukan recovery. Key per 1.000 file ini pun dienkripsi dengan public key cryptography.
Recovery tanpa kunci dekriptor
Yohanes mengatakan proses forensik Dianjurkan dilakukan untuk mendapatkan file ransomware serta log Supaya bisa bisa mengetahui asal-asalnya.
Kemudian, proses reverse engineering bisa digunakan untuk menganalisis apakah dekriptor dibutuhkan untuk memulihkan data. Pasalnya, Bila ransomware memiliki bug atau kelemahan, pemulihan data bisa saja dilakukan tanpa menggunakan dekriptor atau kunci.
Sejak 20 Juni, PDNS 2, di Surabaya,luluh lantak kena serangan siber teknik ransomware. Ini membuat data-data PDNS terkunci tak bisa diakses K/L pengguna layanan.Peretas diklaim meminta tebusan US$8 juta.
Sekalipun, kelompok Brain Cipher tiba-tiba muncul dan mengklaim sebagai peretas. Mereka memberi pembuka kunci alias dekripsi gratis lewat link download di situs gelap.
Pemerintah masih berupaya memulihkan Sebanyaknya layanan yang terdampak. Hasilnya, sampai Selasa (9/7) kemarin, sebanyak 30 layanan publik dari 12 kementerian, lembaga, dan pemerintah daerah yang terkena dampak serangan siber di PDNS 2 Sebelumnya pulih kembali lewat metode dekripsi (decrypt) atau membuka data yang dikunci hacker.
(lom/dmi)
Sumber Refrensi Berita: CNNINDONESIA