Laporan wartawan Tribunnews.com, Endrapta Pramudhiaz

TRIBUNNEWS.COM, JAKARTA - Pusat Data Nasional Sementara (PDNS) 2 yang mengalami serangan siber berbentuk ransomware, ternyata menggunakan Windows Defender sebagai fitur keamanannya.

Windows Defender yang merupakan antivirus bawaan Windows tersebut mengalami crash dan tidak bisa beroperasi ketika serangan ransomware Brain Cipher terjadi.

Menanggapi hal tersebut, Kementerian Komunikasi dan Informatika (Kominfo) mengatakan ini juga menjadi bagian dari yang sedang diinvestigasi pihaknya bersama pemangku kepentingan lainnya seperti Badan Siber dan Sandi Negara (BSSN) dan Telkom Indonesia.

"Itu kan yang lagi diinvestigasi. Nanti kita lihat," kata Direktur Jenderal Informasi dan Komunikasi Publik Kementerian Kominfo Usman Kansong dalam konferensi pers di kantornya, Rabu (26/6/2024).

Dalam kesempatan sama, Direktur Network & IT Solution Telkom Indonesia Herlan Wijanarko mengatakan, masih banyak yang disisir dalam investigasi serangan ransomware terhadap PDNS 2.

Jadi, ia belum bisa menyampaikan apakah penggunaan Windows Defender itu sesuai atau tidak untuk sekelas PDNS 2.

"Terus terang ini banyak aspek yang msh kita sisir. Sebetulnya mana yang proper, mana yang tidak. Jadi, mohon maaf saya belum bisa menyampaikan mana yang proper, mana yang tidak," ujar Herlan.

"Tapi, secara keseluruhan, nanti akan merupakan bagian dari audit forensik, menyangkut tata kelola, menyangkut tool-tool yang memang harus diimplementasikan," jelasnya.

Dalam insiden ransomware ini, BSSN menjelaskan bahwa pihaknya menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender.

Upaya penonaktifkan itu terjadi pada 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas malicious dapat berjalan.

Aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB.

Di antaranya, dilakukan instalasi file malicious, penghapusan filesystem penting, dan penonaktifan service yang sedang berjalan.

"File yang berkaitan dengan storage seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai di-disable dan crash," kata Juru Bicara BSSN Ariandi Putra dalam keterangan tertulis, Selasa (25/6/2024).

Pada 20 Juni 2024, pukul 00.55 Windows Defender mengalami Crash dan tidak bisa beroperasi.

Dalam insiden ini, BSSN telah berhasil menemukan sumber serangan yang berasal dari file ransomware dengan nama Brain Chiper Ransomware.

Ransomware itu adalah pengembangan terbaru dari ransomware lockbit 3.0.

Sampel ransomware selanjutnya akan dilakukan analisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya.

Hal ini menjadi penting untuk lesson learned dan upaya mitigasi agar insiden serupa tidak terjadi lagi.