Jakarta, CNN Indonesia —
Pakar Reverse Engineering Yohanes Nugroho mengungkap kelemahan dari dua ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 di Surabaya beberapa pekan lalu.
Yohanes melakukan penelusuran pada ransomware yang menjadi dalang lumpuhnya beberapa layanan pemerintah, termasuk imigrasi, pada akhir Juni lalu.
Awalnya, dia mengaku mencoba mengontak pihak pemerintah untuk meminta sampel data PDNS 2. Namun, permintaannya tidak digubris pemerintah.
Alhasil, dia melakukan penelusuran dari berbagai data yang telah tersedia, salah satunya Indicator of Compromised (IOC) Brain Cipher Ransomware yang dirilis Badan Siber dan Sandi Negara (BSSN).
Penelusuran Yohanes menunjukkan hash (fingerprint unik sebuah file) dari file di IOC tersebut ditemukan di situs sharing malware.
Sementara itu, Yohanes mengetahui ada ransomware kedua pada PDNS usai grup Brain Cipher memberikan dekriptor atau kunci PDNS dua pekan lalu. Salah satu yang jadi petunjuk, kata Yohanes, adalah nama file yang diberikan pada dekriptor tersebut.
“Jadi ternyata PDN terkena dua ransomware dari satu grup. Enggak tahu berapa banyak yang kena Lockbit, tapi yang terkena Babuk banyak, ribuan virtual machine,” katanya dalam CSIRT Talk bertajuk Bedah Ransomware Pembobol PDN secara daring, Kamis (11/7).
Yohanes kemudian menganalisis kedua ransomware tersebut. Hasil analisis ini bersama dengan beberapa penelusuran yang telah dipublikasikan mengungkap kedua ransomware itu ternyata punya beberapa kelemahan.
Yohanes menyebut Babuk memiliki bug atau kelemahan, salah satunya tidak memiliki header/cheksum, selain mengandalkan extension .encrptd.
Kemudian, file yang diberi extension terkadang tidak dienkripsi dan hanya mengalami perubahan nama. Selain itu, jika enkripptor mengalami crash, maka file akan corrupt.
Sementara itu, Lockbit disebut memiliki kelemahan pada enkriptornya yang membuatnya terkadang tidak bisa mengenkripsi seluruh file, dan hanya melompat-lompat.
Yohanes menyebut setiap file dienkrip oleh Lockbit dengan key yang berbeda, dan nama asli file juga biasanya dienkripsi.
Nama asli dan key tersebut dienkripsi dengan key yang berbeda setiap 1.000 file yang mungkin bisa jadi petunjuk untuk melakukan recovery. Key per 1.000 file ini pun dienkripsi dengan public key cryptography.
Recovery tanpa kunci dekriptor
Yohanes mengatakan proses forensik perlu dilakukan untuk mendapatkan file ransomware serta log agar bisa mengetahui asal-asalnya.
Kemudian, proses reverse engineering bisa digunakan untuk menganalisis apakah dekriptor dibutuhkan untuk memulihkan data. Pasalnya, jika ransomware memiliki bug atau kelemahan, pemulihan data bisa saja dilakukan tanpa menggunakan dekriptor atau kunci.
Sejak 20 Juni, PDNS 2, di Surabaya,luluh lantak kena serangan siber teknik ransomware. Ini membuat data-data PDNS terkunci tak bisa diakses K/L pengguna layanan.Peretas diklaim meminta tebusan US$8 juta.
Namun, kelompok Brain Cipher tiba-tiba muncul dan mengklaim sebagai peretas. Mereka memberi pembuka kunci alias dekripsi gratis lewat link download di situs gelap.
Pemerintah masih berupaya memulihkan sejumlah layanan yang terdampak. Hasilnya, sampai Selasa (9/7) kemarin, sebanyak 30 layanan publik dari 12 kementerian, lembaga, dan pemerintah daerah yang terkena dampak serangan siber di PDNS 2 sudah pulih kembali lewat metode dekripsi (decrypt) atau membuka data yang dikunci hacker.
(lom/dmi)
Sumber Refrensi Berita: CNNINDONESIA