cermi 2- Danang Surya Budi- BD303- 2481499996

STUDI KASUS   2

Serangan Ransomware Bank Syariah Indonesia (BSI) – 2023

1. Cara Ransomware LockBit Masuk ke Sistem Perbankan Modern

a. Phishing Email
Phishing merupakan salah satu metode paling umum yang digunakan oleh kelompok ransomware seperti LockBit. Penyerang mengirim email yang tampak resmi, misalnya atas nama vendor, divisi internal, atau institusi tepercaya. Email tersebut biasanya berisi tautan atau lampiran berbahaya. Ketika pegawai membuka lampiran atau mengklik tautan, malware akan terinstal di perangkat korban dan menjadi pintu awal bagi penyerang untuk masuk ke jaringan internal bank.

b. Kebocoran Kredensial (Username dan Password)
Kredensial dapat bocor akibat phishing, penggunaan password yang sama di banyak platform, atau hasil kebocoran dari layanan lain. Jika sistem perbankan tidak menerapkan Multi-Factor Authentication (MFA), penyerang dapat langsung masuk ke VPN, RDP, atau sistem internal hanya dengan mengandalkan username dan password yang berhasil dicuri.

c. Sistem yang Tidak Ter-Patch
Sistem perbankan yang tidak diperbarui secara rutin memiliki celah keamanan yang dapat dimanfaatkan oleh ransomware. LockBit sering mengeksploitasi kerentanan pada server, aplikasi web, atau perangkat jaringan yang terhubung ke internet. Celah ini memungkinkan penyerang masuk tanpa autentikasi dan menjalankan perintah berbahaya di dalam sistem.

d. Akses dari Pihak Ketiga atau Vendor
Bank modern sangat bergantung pada pihak ketiga, seperti penyedia layanan IT, sistem pembayaran, dan konsultan teknologi. Jika vendor tersebut memiliki sistem keamanan yang lemah, penyerang dapat menggunakan akses vendor sebagai jalan masuk menuju jaringan internal bank. Metode ini sulit terdeteksi karena akses vendor sering dianggap sah.

e. Pergerakan Lateral dan Eskalasi Hak Akses
Setelah berhasil masuk, ransomware tidak langsung mengenkripsi sistem. Penyerang terlebih dahulu menyebar ke server lain, mencari akun dengan hak istimewa tinggi, dan mengumpulkan data sensitif. Tahap ini bertujuan untuk memperluas dampak serangan serta memaksimalkan tekanan terhadap korban melalui ancaman kebocoran data.

2. Langkah Respons Insiden Pertama (First Response)

a. Identifikasi dan Konfirmasi Insiden
Langkah pertama adalah memastikan bahwa gangguan yang terjadi benar-benar merupakan serangan ransomware. Tanda umum meliputi file terenkripsi, perubahan ekstensi file, dan munculnya pesan tebusan. Identifikasi dini sangat penting untuk mencegah penyebaran lebih luas ke sistem lain.

b. Isolasi Sistem Terinfeksi
Sistem yang terinfeksi harus segera diputus dari jaringan untuk menghentikan penyebaran ransomware. Isolasi dilakukan dengan memutus koneksi jaringan, menonaktifkan akses VPN, dan membatasi akun pengguna tertentu. Langkah ini bertujuan untuk melindungi sistem yang belum terdampak.

c. Aktivasi Tim Respons Insiden
Bank harus segera mengaktifkan tim respons insiden yang terdiri dari tim IT, keamanan siber, manajemen, bagian hukum, dan komunikasi. Jika diperlukan, bank dapat melibatkan tim forensik eksternal. Koordinasi yang baik akan mempercepat proses pengendalian dan pemulihan insiden.

d. Pengamanan Bukti Digital
Semua bukti digital seperti log sistem, aktivitas jaringan, dan file berbahaya harus diamankan. Bukti ini diperlukan untuk keperluan investigasi forensik, pelaporan kepada regulator, dan sebagai bahan evaluasi untuk mencegah serangan serupa di masa depan.

e. Komunikasi dan Pengambilan Keputusan
Bank perlu menyusun komunikasi internal kepada pegawai serta komunikasi eksternal kepada regulator dan publik. Informasi yang disampaikan harus terkontrol agar tidak menimbulkan kepanikan. Selain itu, keputusan terkait pembayaran tebusan harus dipertimbangkan secara matang dan tidak dilakukan secara tergesa-gesa.

3. Rekomendasi Pencegahan Serangan Ransomware

a. Backup Data Terenkripsi dan Terisolasi
Backup merupakan pertahanan utama terhadap ransomware. Bank harus memiliki backup data yang dienkripsi dan disimpan secara offline atau immutable sehingga tidak dapat dihapus atau dimodifikasi oleh penyerang. Selain itu, proses pemulihan (restore) harus diuji secara berkala untuk memastikan backup benar-benar dapat digunakan.

b. Segmentasi Jaringan
Segmentasi jaringan bertujuan untuk membatasi pergerakan ransomware di dalam sistem. Dengan memisahkan jaringan operasional, server, database, dan akses vendor, serangan dapat dilokalisasi. Jika satu segmen terinfeksi, segmen lain tetap aman dan layanan kritikal dapat dipertahankan.

c. Edukasi dan Kesadaran Pegawai
Pegawai merupakan salah satu faktor terpenting dalam keamanan siber. Pelatihan rutin mengenai phishing, penggunaan password yang kuat, dan prosedur keamanan harus diberikan. Dengan kesadaran yang baik, risiko serangan dari kesalahan manusia dapat dikurangi secara signifikan.

d. Penerapan Multi-Factor Authentication (MFA)
MFA memberikan lapisan keamanan tambahan dengan mengharuskan verifikasi lebih dari satu faktor. Penerapan MFA pada akses VPN, email, dan akun administrator dapat mencegah penyerang masuk meskipun password berhasil dicuri.

e. Patch Management dan Audit Keamanan
Pembaruan sistem dan aplikasi harus dilakukan secara rutin untuk menutup celah keamanan. Audit keamanan berkala membantu mengidentifikasi kelemahan sistem lebih awal sebelum dimanfaatkan oleh penyerang ransomware.

4. Dampak Jangka Panjang Jika Data Sensitif Bocor

a. Kebocoran data sensitif dapat menurunkan kepercayaan masyarakat terhadap bank. Nasabah mungkin enggan menggunakan layanan digital atau bahkan menarik dananya, yang berdampak langsung pada stabilitas bisnis bank.

b. Kerugian Finansial dan Hukum
Bank harus menanggung biaya besar untuk pemulihan sistem, investigasi forensik, serta kemungkinan gugatan hukum. Selain itu, bank juga dapat dikenakan denda dan kewajiban kompensasi kepada nasabah yang terdampak.

c. Risiko Penyalahgunaan Data
Data yang bocor dapat digunakan untuk penipuan finansial, pencurian identitas, dan social engineering. Dampak penyalahgunaan data ini dapat berlangsung lama dan sulit dihentikan sepenuhnya.

d. Dampak Operasional dan Reputasi
Gangguan sistem yang berkepanjangan dapat menurunkan produktivitas internal dan memperburuk citra bank di mata publik serta investor. Pemulihan reputasi biasanya memerlukan waktu dan biaya yang tidak sedikit.

refrensi
CISA
CISA
kompas

Previous Post Previous Post
Newer Post Newer Post

Leave a comment