Jakarta –
Brain Cipher sudah merilis kunci untuk membuka enkripsi ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2. Namun ternyata ada dua ransomware yang menyerang PDNS 2.
Hal tersebut diungkap oleh Yohanes Nugroho, seorang programer yang melakukan reverse engineering terhadap ransomware tersebut. Menurutnya, PDNS 2 itu diserang LockBit untuk Windows dan Babuk untuk hypervisor ESXI. Nah yang disebut belakangan ini informasinya tidak diungkap oleh Badan Siber dan Sandi Negara (BSSN).
“Supaya jelas: kedua ransomware ini dari satu group (Brain Cipher). Windows diserang dengan LockBit, dan VM di ESXI diserang dengan Babuk. Kedua malware ini buildernya udah dibocorkan di internet sejak beberapa tahun lalu,” ungkapnya lewat postingan di X/Twitter dan sudah memberikan izin detikINET untuk mengutipnya, Kamis (4/7/2024).
Menurut Yohanes, kunci dekriptor yang sudah diberikan itu hanya untuk ESXI, dan saat ini key untuk LockBit belum diberikan.
“Sekarang lagi minta key Lockbitnya sama yang bikin ransomwarenya. Semoga dikasih,” tambahnya.
Ia pun menjelaskan lebih lanjut soal temuannya ini lewat postingan blog compactbyte. Menurutnya ransomware LockBit yang menyerang itu menggunakan enkripsi Salsa20, sementara di server ESXI diserang menggunakan ransomware Babuk dengan enkripsi SOSEMANUK.
“ESXI ini adalah sebuah Hypervisor, alias software untuk menjalankan Virtual Machine. Jadi ternyata bukan cuma Windows yang kena, tapi ESXI-nya. Kedua ransomware tersebut buildernya sudah bocor di internet sejak lama. Untuk yang Babuk, source codenya juga bocor jadi bisa dimodifikasi, bisa mudah dipasangi backdoor,” tulisnya di postingan tersebut.
Ia pun mempertanyakan kenapa ransomware Babuk ini tidak pernah disinggung oleh BSSN dalam indicators of compromise (IOC) yang dirilis oleh BSSN. Namun yang jelas, menurutnya pihak BSSN ataupun Kominfo pasti mengetahui kalau ESXI ini terkena ransomware.
“BSSN/Kominfo mungkin tidak menemukan enkriptornya karena sudah dihapus oleh penyerang, tapi pasti menemukan ransom notenya. Saya tidak tahu seperti apa isinya, apakah sama dengan versi LockBit di Windows, atau beda lagi,” tulis Yohanes.
Ia juga menjelaskan bahwa menurut pembuat malware, kunci untuk ransomware LockBit tersebut tidak perlu diberikan karena kunci ESXI sudah cukup untuk me-restore data di PDNS 2.
“Keynya LockBit tidak diberikan, rekan saya Joshua Sinambela ahli forensik digital sudah bertanya ke pembuat malwarenya, katanya nggak perlu dikasih, seharusnya kunci ESXI sudah cukup buat restore semuanya,” jelasnya.
(asj/fay)
