Bisnis.com, JAKARTA – Lembaga Riset Keamanan Siber CISSReC menyampaikan hasil investigasi yang dilakukan oleh gang ransomware dalam membobol data dari situs milik PT Kereta Api Indonesia (persero).
Seperti yang diketahui, berdasarkan cuitan dari akun @TodayCyberNews di platform X pada 14 Januari lalu, PT. KAI menjadi korban peretas yang melakukan klaim telah berhasil mencuri beberapa data sensitif seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi dan berbagai data internal lainnya.
Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menyampaikan bahwa dari hasil investigasi yang dilakukan, peretasan dilakukan oleh geng ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dikeluarkan oleh mereka.
Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan.
“Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada di dalam dashboard tersebut,” terangnya melalui keterangan resmi, Rabu (17/1/2024).
Tak hanya itu, geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard diakses menggunakan kredensial salah karyawan KAI yang mereka dapatkan. Artinya, Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan baik itu melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers.
Menurutnya, PT. KAI sepertinya sudah menyadari adanya serangan tersebut dan sudah melakukan beberapa mitigasi seperti menghapus dan menonaktifkan portal VPN di situs PT. KAI dimana peretas masuk dan mengakses sistem PT. KAI serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous terebut.
Namun, menurut geng ransomware Stormous hal tersebut cukup sia-sia karena mereka bukan baru satu jam masuk kedalam sistem PT. KAI namun sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada didalam sistem.
Kemudian mitigasi yang dilakukan oleh KAI bisa saja tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem PT. KAI yang dapat mereka pergunakan untuk mengakses kembali sistem PT. KAI kapanpun mereka mau, karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka.
Alhasil, lanjutnya, jika tidak dapat menemukan backdoor tersebut maka salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang PT. KAI miliki dengan sebelumnya melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut.
“Menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan PT. KAI yang bocor serta hampir 22,5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI. Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut,” terangnya.
Dari kejadian ini, CISSReC mengklaim bahwa edukasi karyawan terhadap keamaan siber harus ditingkatkan. Hal tersebut akan menjadi sia-sia apabila sistem keamanan karyawan lemah, meskipun sistem keamanan siber yang dimiliki oleh lembaga sudah menggunakan sistem yang paling mutakhir dan paling canggih.
Beberapa hal yang perlu diajarkan kepada personel tersebut adalah bagaimana mengetahui serta mengenali sebuah potensi serangan siber yang sedang terjadi sehingga tidak terjebak untuk melakukan suatu aktivitas yang dapat menyebabkan komputer atau laptop mereka diambil alih kontrolnya oleh peretas.
Diketahui sebelumnya, geng ransomware Stormous membagikan sampel data yang mereka curi dari PT. KAI sebesar 2,2 GB file dalam bentuk terkompresi dan diberi nama kai.rar.
Peretas juga memberikan tenggat waktu selama 15 hari kepada PT. KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan Rp7,9 miliar dan mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan.