Ilmuwan Bongkar Kelemahan 2 Ransomware yang Serang PDNS
Jakarta, CNN Indonesia —
Ilmuwan Reverse Engineering Yohanes Nugroho mengungkap kelemahan dari dua ransomware yang menyerang Pusat Knowledge Nasional Sementara (PDNS) 2 di Surabaya beberapa pekan lalu.
Yohanes melakukan penelusuran pada ransomware yang menjadi dalang lumpuhnya beberapa layanan pemerintah, termasuk Perpindahan Penduduk, pada akhir Juni lalu.
Awalnya, Ia mengaku mencoba mengontak pihak pemerintah untuk meminta sampel information PDNS 2. Justru, permintaannya tidak digubris pemerintah.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Alhasil, Ia melakukan penelusuran dari berbagai information yang Sudah tersedia, salah satunya Indicator of Compromised (IOC) Mind Cipher Ransomware yang dirilis Badan Siber dan Sandi Negara (BSSN).
Penelusuran Yohanes menunjukkan hash (fingerprint Istimewa sebuah file) dari file di IOC tersebut ditemukan di situs sharing malware.
Sementara itu, Yohanes mengetahui ada ransomware kedua pada PDNS usai grup Mind Cipher Menyediakan dekriptor atau kunci PDNS dua pekan lalu. Salah satu yang jadi petunjuk, kata Yohanes, Merupakan nama file yang diberikan pada dekriptor tersebut.
“Jadi ternyata PDN terkena dua ransomware dari satu grup. Enggak tahu berapa banyak yang kena Lockbit, tapi yang terkena Babuk banyak, ribuan digital machine,” katanya dalam CSIRT Speak bertajuk Bedah Ransomware Pembobol PDN secara daring, Kamis (11/7).
Yohanes kemudian menganalisis kedua ransomware tersebut. Hasil analisis ini bersama dengan beberapa penelusuran yang Sudah dipublikasikan mengungkap kedua ransomware itu ternyata punya beberapa kelemahan.
Yohanes menyebut Babuk memiliki bug atau kelemahan, salah satunya tidak memiliki header/cheksum, selain mengandalkan extension .encrptd.
Kemudian, file yang diberi extension terkadang tidak dienkripsi dan hanya mengalami perubahan nama. Terlebih lagi, Bila enkripptor mengalami crash, maka file Akan segera corrupt.
Sementara itu, Lockbit disebut memiliki kelemahan pada enkriptornya yang membuatnya terkadang tidak bisa mengenkripsi seluruh file, dan hanya melompat-lompat.
Yohanes menyebut setiap file dienkrip oleh Lockbit dengan key yang berbeda, dan nama asli file Bahkan biasanya dienkripsi.
Nama asli dan key tersebut dienkripsi dengan key yang berbeda setiap 1.000 file yang Mungkin Mungkin petunjuk untuk melakukan restoration. Key per 1.000 file ini pun dienkripsi dengan public key cryptography.
Restoration tanpa kunci dekriptor
Yohanes mengatakan proses forensik Wajib dilakukan untuk mendapatkan file ransomware serta log Supaya bisa bisa mengetahui asal-asalnya.
Kemudian, proses reverse engineering bisa digunakan untuk menganalisis apakah dekriptor dibutuhkan untuk memulihkan information. Pasalnya, Bila ransomware memiliki bug atau kelemahan, pemulihan information bisa saja dilakukan tanpa menggunakan dekriptor atau kunci.
Sejak 20 Juni, PDNS 2, di Surabaya,luluh lantak kena serangan siber teknik ransomware. Ini membuat data-data PDNS terkunci tak bisa diakses Okay/L pengguna layanan.Peretas diklaim meminta tebusan US$8 juta.
Justru, kelompok Mind Cipher tiba-tiba muncul dan mengklaim sebagai peretas. Mereka memberi pembuka kunci alias dekripsi free of charge lewat hyperlink obtain di situs gelap.
Pemerintah masih berupaya memulihkan Sebanyaknya layanan yang terdampak. Hasilnya, sampai Selasa (9/7) kemarin, sebanyak 30 layanan publik dari 12 kementerian, lembaga, dan pemerintah daerah yang terkena dampak serangan siber di PDNS 2 Pernah pulih kembali lewat metode dekripsi (decrypt) atau membuka information yang dikunci hacker.
(lom/dmi)
[Gambas:Video CNN]
Sumber Refrensi Berita: CNNINDONESIA
