Beda Serangan Hacker Ransomware ke BRI dan BSI


Bank Rakyat Indonesia alias BRI dikabarkan mengalami serangan Ransomware Bashe pada Rabu (18/12). Bank Syariah Indonesia atau BSI juga disebut terkena serangan hacker, namun tipe Ransomware LockBit 3.0 pada Mei 2023.
Platform intelijen keamanan digital Falcon Feeds menyampaikan hacker Ransomware Bashe memberikan waktu empat hari hingga 23 Desember kepada BRI, sebelum akhirnya menyebarluaskan data yang dicuri.
“Kami tidak mengonfirmasi validitas klaim terkait serangan Ransomware Bashe ke BRI. Namun kelompok ini telah menyatakan bahwa mereka berencana untuk merilis data dalam empat hari sambil menawarkannya untuk dijual. Mereka juga telah menerbitkan contoh data untuk mendukung klaim mereka,” kata Falcon melalui akun X @FalconFeedsio pada Kamis (19/12).
Clarification on Claims Regarding Bank Rakyat Indonesia Attack
This post addresses the claims that the reported attack on Bank Rakyat Indonesia is fake news.
To provide further context, here are details about the Bashe ransomware group, along with some samples shared by the… https://t.co/ysVDdMxajF pic.twitter.com/0G9doVAOEM— FalconFeeds.io (@FalconFeedsio) December 18, 2024
Falcon juga memberikan gambaran umum mengenai Ransomware Bashe, yakni:
- Bashe juga dikenal sebagai APT73 atau Eraleig
- Kelompok hacker ini pertama kali muncul pada pertengahan April 2024
- Bukti menunjukkan bahwa Bashe adalah kelompok sempalan dari Ransomware LockBit yang menyerang Pusat Data Nasional Sementara 2 Surabaya, mengingat kesamaan yang mencolok dalam taktik, teknik, dan infrastruktur
Namun BRI mengatakan keamanan data nasabah terjaga dan sistem mereka berjalan normal. "Seluruh layanan transaksi kami dapat beroperasi dengan normal," kata Direktur Digital dan IT BRI Arga M Nugraha dalam keterangan tertulis yang diunggah di akun X BRI, Rabu (18/12).
Arga mengatakan nasabah tetap dapat menggunakan seluruh sistem layanan perbankan BRI dengan biasa. Beberapa layanan tersebut yakni BRImo, Qlola hingga ATM/CRM.
Ia juga menegaskan sistem keamanan teknologi informasi BRI memenuhi standar internasional. Selain itu, sistem ini terus diperbarui secara berkala untuk menghadapi ancaman digital.
"Langkah-langkah proaktif dilakukan untuk memastikan informasi nasabah tetap terlindungi," kata Arga.
Dalam unggahan yang sama, akun X resmi BRI mengatakan keamanan nasabah menjadi prioritas bank pelat merah itu. "Kami memastikan bahwa sistem dan transaksi BRI berjalan normal," bunyi pernyataan akun Bank BRI.
Sementara itu, Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menyampaikan bila kelompok hacker Ransomware sudah mempublikasikan nama institusi yang menjadi korban, kemungkinan besar tahap negosiasi gagal atau korbannya tidak memberikan tanggapan yang baik.
Dalam kasus BSI, hacker Ransomware LockBit mengklaim mereka sudah menyebarkan 1,5 terabit atau TB data karyawan dan nasabah ke dark web pada 16 Mei. Hal ini diketahui dari gambar tangkapan layar yang menunjukkan data-data diduga milik BSI bocor, yang diunggah akun Twitter perusahaan keamanan teknologi Fusion Intelligence Center @DarkTracer.
Berdasarkan gambar tersebut, grup hacker Ransomware LockBit 3.0 menyatakan perusahaan gabungan tiga bank syariah itu tak membayar uang tebusan US$ 20 juta atau Rp 295,6 miliar.
"Batas waktu negosiasi berakhir, dan Kelompok Ransomware LockBit akhirnya membuat semua data curian dari BSI terpublikasi di dark web," demikian tertulis di akun @DarkTracer melengkapi foto tangkapan layar yang diunggah pada Mei tahun lalu (16/5/2023).
The negotiation period has ended, and the LockBit ransomware group has finally made all the stolen data from Bank Syariah Indonesia public on the dark web. pic.twitter.com/jQSmiCM1Ln— Fusion Intelligence Center @ StealthMole (@stealthmole_int) May 16, 2023
Saat itu, Sekretaris Perusahaan BSI Gunawan A Hartoyo memastikan data dan dana nasabah dalam kondisi aman, sehingga dapat bertransaksi secara normal. “Kami berharap nasabah tetap tenang," kata dia dalam keterangan pers, tahun lalu.
Setelah menerima informasi tentang kemungkinan adanya serangan hacker, BSI terus melakukan pemeriksaan, dan menindaklanjuti keseluruhan sistem, serta melakukan mitigasi jangka panjang.
“Mengenai isu serangan, BSI berharap masyarakat tidak mudah percaya atas informasi yang berkembang dan selalu melakukan pengecekan ulang atas informasi yang beredar. Dapat kami sampaikan bahwa data dan dana nasabah tetap aman,” kata dia.
Secara paralel, BSI melakukan investigasi internal dan terus berkoordinasi dengan pihak-pihak terkait, baik Badan Siber dan Sandi Negara alias BSSN, Otoritas Jasa Keuangan atau OJK, Bank Indonesia alias BI, serta instansi lainnya.
Sementara itu, Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menyoroti layanan perbankan BRI maupun mobile banking tidak mengalami kendala operasional. Hal ini berbeda dengan BSI yang mengalami serangan Ransomware yang mengakibatkan kegagalan operasional perbankan dan aplikasi mobile banking selama beberapa hari.
Tim CISSReC juga menemukan sampel data yang diberikan oleh Ransomware Bashe identik dengan salah satu unggahan di Scribd yang diunggah oleh akun bernama ‘Sonni GrabBike’ pada 17 September 2020.
Investigasi lebih lanjut secara random pada beberapa sample data, CISSReC menemukan nomor kartu yang tertera yang didapatkan di Scribd adalah valid. “Nomor kartu ini masih aktif, karena bisa dilakukan transfer,” kata Pratama dalam keterangan tertulis yang diterima oleh Katadata.co.id, Kamis (19/12).
“Melihat beberapa fakta ini, untuk saat ini serangan siber berupa ransomware tersebut kemungkinan besar adalah informasi yang kurang benar. Jika memang ada serangan, BRI memiliki sistem backup dan prosedur recovery yang bagus karena bisa dengan waktu singkat mengembalikan layanan perbankan,” Pratama menambahkan.
CISSReC melihat bahwa informasi serangan Ransomware hanya upaya coba-coba untuk memeras BRI. “Seolah-olah mereka terkena serangan Ransomware, karena jika memang grup Ransomware Bashe memiliki data asli dari BRI hasil serangan malware, tentu saja seharusnya mereka mengunggah data tersebut dan bukannya yang sudah pernah diunggah di Scribd,” kata dia.