CISSReC: Dugaan Peretasan KAI Dilakukan Gang Ransomware
Agung Nugroho | Selasa, 16 Januari 2024 - 22:21 WIB
Jakarta - PT. Kereta Api Indonesia (PT. KAI) diduga menjadi korban kebocoran data yang terpublikasi pertama kali di tahun 2024. Menurut cuitan dari akun @TodayCyberNews di platform X (Twitter) pada tanggal 14 Januari lalu.
PT. KAI menjadi korban peretas yang melakukan klaim telah berhasil mencuri beberapa data sensitif seperti informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi dan berbagai data internal lainnya.
Dari investigasi yang CISSReC lakukan, peretasan kepada PT. KAI dilakukan oleh gang ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dikeluarkan oleh mereka.
"Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan. Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada didalam dashboard tersebut," Chairman CISSReC Pratama Persadha dalam keterangan resmi yang diterima, Selasa (16/1/2024)..
Dia mengatakan Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah karyawan KAI yang mereka dapatkan.
Menurut dia hal ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan baik itu melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers.
Dijelaskan Pratama PT. KAI sepertinya sudah menyadari adanya serangan tersebut dan sudah melakukan beberapa mitigasi seperti menghapus menonaktifkan portal VPN di situs PT. KAI
Tidak hanya itu PT. KAI serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous terebut. Namun menurut geng ransomware Stormous hal tersebut sia-sia karena mereka bukan baru satu jam masuk kedalam sistem PT. KAI.
Dia juga menambakan bahwa sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada didalam sistem.
"Oleh karena itu mitigasi tersebut dianggap tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem PT. KAI yang dapat mereka pergunakan untuk mengakses kembali sistem tersebut," pungkas dia.
Target Peretasan
Dia mengatakan tentu saja mereka tidak akan mau melepaskan begitu saja target peretasannya.
"Sehingga jika tidak dapat menemukan backdoor tersebut maka salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang PT. KAI miliki dengan sebelumnya melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut, " terang Pratama.
Dia juga mengatakan menurut data yang berhasil kami gali, terdapat 82 kredensial karyawan PT. KAI yang bocor serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI.
Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut.
Pada laman webnya, geng ransomware itu juga membagikan sampel data yang mereka curi sebesar 2,2GB dalam bentuk file terkompresi, dan diberi nama kai.rar.
Geng tersebut juga memberikan tengga waktu 15 hari pada KAI untuk melakukan negosiasi dan membayar tebusan sebesar 11,69 BTC atau sekitar Rp 7,9 miliar. Apabila tidak dipenuhi, mereka mengancam akan mempublikasikan data tersebut.
Terkait hal tersebit, kata Pratama persoalan sistem keamanan siber, tidak bisa melihat hanya pada satu sisi infrastruktur serta perangkat keamanan siber saja, namun penting untuk melihat aspek lainnya seperti pelatihan karyawan terhadap aspek keamanan siber juga menjadi titik kritis
Dia mengatakan alasannya tidak jarang serangan siber yang terjadi berawal dari diretasnya pc/laptop karyawan atau didapatkanya data kredensial karyawan melalui serangan phising.
Oleh sebab itu, lanjutnya, edukaai terhadap karayawan menjadi hal penting meski sebuah lembaga memiliki sistem keamanan siber yang paling mutakhir dan paling canggih
"Beberapa hal yang perlu diajarkan kepada personel tersebut adalah bagaimana mengetahui serta mengenali sebuah postensi serangan siber yang sedang terjadi, sehingga tidak terjebak melakukan suatu aktivitas yang dapat menyebabkan komputer atau laptop mereka diambil alih kontrolnya oleh peretas," tutur Pratama.
