Bisnis.com, JAKARTA - Tahun lalu, akses transaksi PT Bank Syariah Indonesia Tbk. (BRIS) alias BSI sempat terindikasi mendapatkan serangan siber ransomware. PT Bank Mandiri (Persero) Tbk. (BMRI) pun buka suara mengenai sosok dan seperti apa serangan siber yang terjadi.
Senior Vice President Chief Information Security Officer Bank Mandiri Riza Hariawan mengatakan usai pihaknya mengikuti investigasi atas serangan BSI beberapa waktu lalu, diungkapkan bahwa sosok penyerangnya bukanlah dari wilayah Indonesia, justru datang dari LockBit 3.0 Rusia.
“Alhamdullilah waktu di BSI posisinya lock itu lumayan lengkap, meski ada yang enggak lengkap. Tapi, ketika tim forensik masuk dan kita lihat semua, akhirnya dapat pola yang me-refer ke sosok yang attack kita, jadi yang attack kita Rusia, karena ada koneksi IP [yang mengarah ke Rusia],” ujarnya dalam Seminar Indonesia Cyber Risk 2024 di Jakarta, Kamis (27/6/2024).
Kata Riza, saat itu serangan yang terjadi pada BSI dimulai dengan penetrasi melalui perangkat keamanan dengan pengaturan default umum yang masih aktif, yang memungkinkan akses ke dalam sistem BSI dan melakukan pergerakan lateral.
Kemudian, penyerang berhasil men-deploy alias menjalankan perangkat lunak berbahaya, yakni e-logger untuk mencari akses ke pengguna aktif, terutama administrator.
Saat itu, Riza menekankan sebaiknya penting perseroan untuk memastikan endpoint telah terstandarisasi dengan alat keamanan yang memadai untuk mencegah akses yang tidak sah ke dalam jaringan BSI.
Baca Juga
“Akhirnya, dia [attacker] dapat user selevel adminsitrator dan waktu itu user administrator-nya adalah adalah update directory. Update directory kena, dari update directory itu ke user admin, dia bisa lumpuhkan security tool di BSI,” jelasnya.
Selanjutnya penyerang pun melakukan enkripsi. Menurut Riza, setiap langkah ini tentu tidak berlangsung dalam semalam karena semua aktivitas sudah terdeteksi dua bulan sebelumnya.
Baginya, dengan penjagaan yang memadai, serangan ini bisa dideteksi lebih awal dan dapat dicegah sebelum merusak sistem secara menyeluruh. “Hari H adalah rangkaian penutup dari attacker,” ucapnya.
Terlepas dari itu, Kementerian Komunikasi dan Informatika (Kemenkominfo) baru-baru ini menyebut serangan siber yang melumpuhkan server Pusat Data Nasional Sementara (PDNS) memiliki kemiripan dengan model serangan LockBit ke PT Bank Syariah Indonesia (BSI). Pada Mei 2023, BSI sempat diduga mengalami serangan siber oleh aktor yang menamakan dirinya LockBit 3.0.
Direktur Jenderal Aplikasi Informatika Pemerintahan Semuel Abrijani Pangerapan mengatakan varian ransomware ini mutasi dari LockBit 3.0 yang pertama kali teridentifikasi oleh tim forensik dari Badan Siber dan Sandi Negara (BSSN).
"Mirip [LockBit BSI], tetapi berbeda variannya. Tetapi, kita belum bisa menyatakan di sini karena hasil forensik belum selesai," kata Semuel di Kantor Kemenkominfo, Senin (24/6/2024).
Sebagai informasi, LockBit merupakan grup peretas yang sebelumnya sempat menginveksi BSI melalui Ransomware-as-a-Service (RaaS) yang ternyata adalah warisan dari Lockbit dan Lockbit 2.0.
LockBit varian terbaru versi 3.0 atau juga dikenal dengan Lockbit Blackz Serangan tersebut memiliki kemampuan yang mampu menyesuaikan berbagai opsi selama kompilasi dan eksekusi muatan.
LockBit 3.0 menggunakan pendekatan modular dan mengenkripsi muatan hingga eksekusi, yang menghadirkan hambatan signifikan untuk analisis dan deteksi malware.
