Apa Itu Lockbit 3.0 Ransomware yang Serang Pusat Data Nasional? Ternyata Begini Cara Kerjanya

Menurut data firma keamanan siber Trend Micro, selama kuartal pertama 2024, sindikat yang terafiliasi dengan Lockbit menjadi pelaku serangan ransomware paling berhasil, dengan jumlah serangan sukses pada 217 korban, seperti dikutip dari Kompas.id.

Baca Juga: Pusat Data Nasional Diserang Hacker dengan Malware, Begini Kritik DPR ke BSSN

Cara Kerja Virus Ransomware

• Infeksi dan Penyebaran

Ransomware dapat menyebar melalui berbagai cara, termasuk lampiran surel berbahaya, tautan yang meragukan, situs web yang terinfeksi, atau eksploitasi kerentanan dalam perangkat dan perangkat lunak. Setelah perangkat terinfeksi, ransomware mulai bekerja.

• Enkripsi Data

Ransomware akan memindai file di perangkat dan mengenkripsi data yang berharga dengan menggunakan algoritma enkripsi yang kuat. File yang dienkripsi akan memiliki ekstensi yang berbeda atau tambahan yang mengindikasikan bahwa file tersebut tidak dapat diakses.

• Tampilan Pesan Tebusan

Setelah berhasil mengenkripsi data, ransomware akan menampilkan pesan tebusan kepada pengguna. Pesan ini berisi instruksi tentang cara membayar tebusan dan mendapatkan kunci dekripsi untuk memulihkan akses ke data yang terenkripsi. Biasanya, pesan tebusan ini menampilkan batas waktu dan ancaman untuk menghapus data jika tebusan tidak dibayar.

• Pembayaran Tebusan

Penyerang meminta pembayaran tebusan dalam bentuk mata uang digital seperti Bitcoin atau Ethereum. Metode pembayaran yang digunakan memungkinkan para penyerang untuk menjaga anonimitas mereka, membuat pelacakan dan pelacakan aktivitas mereka sulit dilakukan.

• Pemulihan Data

Jika tebusan dibayar, penyerang akan memberikan kunci dekripsi kepada pengguna untuk memulihkan akses ke data yang terenkripsi. Namun, tidak ada jaminan bahwa data akan dikembalikan sepenuhnya atau bahwa penyerang tidak akan kembali menyerang.

Baca Juga: Hacker Minta Tebusan 8 Juta Dolar AS, Begini Respons Pemerintah Indonesia

Kronologi Ransomware Serang PDN

Hinsa Siburian mengatakan, dari insiden ransomware tersebut, BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas jahat atau malicious dapat berjalan.

Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, di antaranya melakukan instalasi file malicious, menghapus sistem fail penting, dan menonaktifkan layanan yang sedang berjalan.

File yang berkaitan dengan storage atau penyimpanan, seperti: VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai di-disable atau dilumpuhkan dan crash.

“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami crash dan tidak bisa beroperasi,” jelas Hinsa.

Saat ini, sambung Hinsa, BSSN, Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta masih terus berproses mengupayakan investigasi secara menyeluruh pada bukti-bukti forensik yang didapat. 

“BSSN Kominfo, Cyber Crime Polri, dan KSO Telkom-Sigma-Lintasarta sampai dengan hari ini masih terus melakukan investigasi secara menyeluruh mengacu pada bukti-bukti forensik yang telah didapat. Dengan segala keterbatasan evidence, atau bukti digital dikarenakan kondisi evidence yang terenkripsi akibat serangan ransomware tersebut,” ungkap Hinsa.