1).
–Serangan Phishing / Social Engineering
Ini adalah cara paling umum.
Penyerang mengirim email atau pesan berisi:
-
file berbahaya (PDF/Excel/Word),
-
link ke situs palsu,
-
atau kredensial yang sudah dicuri sebelumnya.
Jika karyawan tertipu dan:
-
mengunduh file berbahaya,
-
memasukkan kredensial pada halaman palsu,
maka penyerang bisa mendapat akses awal ke jaringan internal.
–Eksploitasi Kerentanan pada Aplikasi atau Server
LockBit dan kelompok lain kerap memanfaatkan celah keamanan seperti:
-
VPN atau firewall yang belum di-patch
-
Sistem operasi atau server aplikasi yang kadaluwarsa
-
Aplikasi internal yang memiliki kelemahan Remote Code Execution
Bank biasanya memiliki banyak sistem legacy; jika satu saja tidak ditambal, itu dapat menjadi pintu masuk.
–Penyalahgunaan Akun Administrator atau Kredensial Tercuri
Kelompok ransomware sering membeli atau mencuri kredensial dari:
-
kebocoran data lama,
-
malware pencuri password pada perangkat karyawan,
-
akses yang dijual oleh “initial access brokers” di dark web.
Akun admin atau domain controller yang tidak dilengkapi MFA dapat menjadi pintu besar.
Strategi Pertahanan yang Umum Digunakan Perbankan
Untuk konteks pencegahan, bank modern umumnya menggunakan:
-
Zero Trust Architecture
-
Multi-Factor Authentication (MFA) pada semua akses
-
Network micro-segmentation
-
Endpoint Detection & Response (EDR)
-
Patch management yang ketat
-
Pemisahan sistem kritis (core banking) dari jaringan kantor
-
Threat intelligence monitoring
-
Backup offline/immutable
2).
Hal-hal yang diklaim dan diketahui setelah insiden
-
Klaim pencurian data besar-besaran
— LockBit mengaku telah mencuri ~1,5 TB data internal milik BSI.
— Data tersebut diklaim mencakup 15 juta “rekaman” nasabah dan karyawan.
— Rincian data menurut klaim meliputi: nama, alamat, nomor telepon, informasi dokumen, nomor kartu/rekening, saldo, riwayat transaksi, dokumen keuangan & legal, kontrak (NDA), serta kata sandi (password) layanan internal maupun eksternal bank. -
Gangguan layanan nyata
— Sejak sekitar 8 Mei 2023, banyak layanan BSI — ATM, mobile banking, internet banking — dilaporkan “down” atau error.
— Nasabah keluhkan kesulitan akses dan transaksi, bahkan ada yang tidak bisa tarik tunai. -
Ancaman publikasi data bila tebusan tak dibayar
— LockBit memberi tenggat kepada BSI untuk “negosiasi tebusan” — menurut klaim, jangka waktu 72 jam.
— Setelah negosiasi gagal, kelompok ini mengklaim telah menyebarkan data curian ke “dark web”/internet gelap. -
Pernyataan dari BSI: data dan dana nasabah “aman”
— Pihak BSI (melalui Corporate Secretary) menyatakan bahwa “data dan dana nasabah aman” dan bahwa mereka akan bekerja sama dengan otoritas untuk menangani isu ini.
— BSI menyebut bahwa dugaan serangan siber perlu “audit dan forensik digital” sebelum bisa dipastikan. -
Pernyataan pihak regulator/penegak hukum & upaya investigasi
— Setelah klaim kebocoran publik oleh LockBit, BSI menjanjikan perbaikan sistem keamanan.
— Namun publik dan pakar siber mempertanyakan integritas sistem backup dan sistem core — karena jika backup pun ikut “kena”, maka pemulihan bisa sangat sulit.
3).
First Response: Langkah Awal Saat Serangan Siber Terdeteksi
1. Aktifkan Prosedur Respons Insiden
Begitu ada indikasi serangan:
-
Deklarasikan insiden sesuai SOP internal.
-
Aktifkan CSIRT/IRT/SOC (Computer Security Incident Response Team).
-
Pastikan ada incident commander yang jelas sebagai pusat keputusan.
Tujuan: menghindari kebingungan dan memastikan koordinasi cepat.
2. Identifikasi dan Konfirmasi Insiden
Lakukan penilaian awal:
-
Apa gejala yang terlihat? (enkripsi file, aktivitas mencurigakan, alarm EDR, login aneh)
-
Sistem mana yang terdampak?
-
Perkiraan cakupan: endpoint tunggal, server, atau jaringan lebih luas?
Tujuan: menentukan skala insiden sebelum mengambil tindakan agresif.
3. Isolasi Sistem yang Terindikasi Terinfeks
Tanpa mematikan perangkat, lakukan:
-
Putuskan jaringan (kabel LAN, Wi-Fi, VPN)
-
Putuskan akses ke shared drive
-
Lakukan network segmentation darurat
Jangan matikan perangkat, karena:
-
Bukti volatile (RAM, proses aktif) akan hilang
-
Bisa memperlambat analisis forensik
Tujuan: menghentikan penyebaran dan mencegah kerusakan lebih besar.
4. Amankan dan Lindungi Bukti
Tim forensik perlu mendapatkan:
-
Snapshot RAM (memory capture)
-
Log (SIEM, firewall, server, aplikasi)
-
Salinan file yang terenkripsi/terinfeksi
-
Artefak malware
Tujuan: memastikan investigasi dapat menelusuri titik masuk dan metode serangan.
5. Blokir Akses Penyerang
Lakukan tindakan cepat:
-
Nonaktifkan akun yang mencurigakan
-
Reset password yang berisiko
-
Cabut sesi aktif (kill sessions)
-
Revoke token atau API key
-
Jangan tergesa-gesa memutus seluruh sistem jika belum tahu scope (agar tidak menghilangkan bukti)
Tujuan: mencegah penyerang tetap berada di dalam jaringa
4).
Langkah Pencegahan Utama Terhadap Ransomwer
1. Backup Terenkripsi & Berlapis
Pencegahan utama agar organisasi tetap pulih meskipun terjadi serangan.
-
Terapkan 3-2-1 rule:
3 salinan data, 2 media berbeda, 1 offline/immutable. -
Pastikan semua backup terenkripsi di transit & saat disimpan.
-
Gunakan immutable storage (WORM).
-
Uji proses restore secara berkala (mis. triwulan).
-
Pisahkan kredensial backup dari domain utama.
Tujuan: mencegah penyerang menghapus/menginfeksi backup.
2. Segmentasi Jaringan & Zero Trust Architecture
Mengurangi ruang gerak penyerang jika berhasil masuk.
-
Terapkan network segmentation (mis. memisahkan server kritis, jaringan kantor, dan jaringan vendor).
-
Gunakan micro-segmentation untuk workload sensitif.
-
Terapkan prinsip least privilege pada seluruh akses.
-
Implementasi Zero Trust: setiap akses harus diverifikasi, tidak ada “kepercayaan otomatis”.
Tujuan: membatasi penyebaran lateral movement.
3. Edukasi & Simulasi Kesadaran Keamanan bagi Pegawai
Sumber intrusi terbesar biasanya human error.
-
Program security awareness reguler (phishing, social engineering, password hygiene).
-
Simulasi phishing triwulan untuk mengukur risiko.
-
Materi khusus bagi bagian keuangan, teller, dan admin IT.
-
Kebijakan “think before you click” dan pembatasan makro dokumen.
Tujuan: meningkatkan ketahanan terhadap rekayasa sosial.
Ling BYSL
https://bysl.pw/bisnis-hash-salman
REFERENSI
