2 Ransomware yang Sukses Serang PDNS Ternyata Punya Kelemahan – Pakar Reverse Engineering Yohanes Nugroho mengungkap kelemahan dari dua ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 di Surabaya beberapa pekan lalu.
Yohanes melakukan investigasi pada ransomware yang menyebabkan beberapa layanan pemerintah, termasuk imigrasi, lumpuh pada akhir Juni lalu.
.jpg&size=720x400 "2 Ransomware yang Sukses Serang PDNS Ternyata Punya Kelemahan 1")
2 Ransomware yang Sukses Serang PDNS Ternyata Punya Kelemahan
Pada awalnya, dia mencoba menghubungi pihak pemerintah untuk meminta sampel data PDNS 2, tetapi permintaannya tidak ditanggapi.
Akibatnya, dia melakukan investigasi menggunakan berbagai data yang tersedia, salah satunya adalah Indicator of Compromised (IOC) Brain Cipher Ransomware yang dirilis oleh Badan Siber dan Sandi Negara (BSSN).
Investigasi Yohanes menemukan hash (sidik jari unik sebuah file) dari file di IOC tersebut di situs berbagi malware.
Selain itu, Yohanes mengetahui ada ransomware kedua yang menyerang PDNS setelah grup Brain Cipher memberikan dekriptor atau kunci PDNS dua pekan lalu. Salah satu petunjuknya adalah nama file yang diberikan pada dekriptor tersebut.
“Jadi ternyata PDN terkena dua ransomware dari satu grup. Tidak tahu berapa banyak yang terkena Lockbit, tapi yang terkena Babuk banyak, ribuan virtual machine,” katanya dalam CSIRT Talk bertajuk Bedah Ransomware Pembobol PDN secara daring, Kamis (11/7).
Yohanes kemudian menganalisis kedua ransomware tersebut. Hasil analisis ini, bersama dengan beberapa investigasi yang telah dipublikasikan, mengungkap bahwa kedua ransomware itu memiliki beberapa kelemahan.
Yohanes menjelaskan bahwa Babuk memiliki bug atau kelemahan, salah satunya adalah tidak memiliki header/checksum dan mengandalkan ekstensi .encrptd.
Selain itu, file yang diberi ekstensi terkadang tidak dienkripsi dan hanya mengalami perubahan nama. Jika enkriptor mengalami crash, maka file akan menjadi korup.
Sementara itu, Lockbit memiliki kelemahan pada enkriptornya yang terkadang membuatnya tidak bisa mengenkripsi seluruh file dan hanya melompat-lompat.
Yohanes menjelaskan bahwa setiap file dienkripsi oleh Lockbit dengan kunci yang berbeda, dan nama asli file juga biasanya dienkripsi.
Nama asli dan kunci tersebut dienkripsi dengan kunci yang berbeda setiap 1.000 file, yang mungkin bisa menjadi petunjuk untuk melakukan pemulihan. Kunci per 1.000 file ini pun dienkripsi dengan public key cryptography.
Recovery tanpa kunci dekriptor
Yohanes mengatakan bahwa proses forensik perlu dilakukan untuk mendapatkan file ransomware serta log guna mengetahui asal-usul serangan.
Setelah itu, teknik reverse engineering dapat digunakan untuk menganalisis apakah dekriptor diperlukan untuk memulihkan data.
Jika ransomware memiliki bug atau kelemahan, pemulihan data mungkin bisa dilakukan tanpa dekriptor atau kunci.
Sejak 20 Juni, PDNS 2 di Surabaya mengalami serangan siber teknik ransomware, menyebabkan data PDNS terkunci dan tidak bisa diakses oleh Kementerian/Lembaga yang menggunakan layanan tersebut. Peretas diklaim meminta tebusan sebesar US$8 juta.
Namun, kelompok Brain Cipher tiba-tiba muncul dan mengklaim sebagai pelaku serangan. Mereka menyediakan kunci dekripsi gratis melalui link unduhan di situs gelap.
Pemerintah masih berupaya memulihkan sejumlah layanan yang terdampak. Hingga Selasa (9/7) kemarin, sebanyak 30 layanan publik dari 12 kementerian, lembaga, dan pemerintah daerah yang terkena dampak serangan siber di PDNS 2 telah pulih kembali melalui metode dekripsi atau membuka data yang dikunci peretas.
