“BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB sehingga memungkinkan aktivitas malicious dapat berjalan,” kata Ariandi dalam keterangannya, Senin, 24 Juni 2024.
Ariandi menjelaskan ransomware itu bekerja dengan cara menonaktifkan Windows Defender (sistem keamananan) guna mengizinkan file berbahaya terpasang pada sistem. Selanjutnya, ransomware mulai masuk pada 17 Juni dan aktivitas mencurigakan mulai terdeteksi pada 20 Juni 2024 pukul 00.54.
Aktivitas mencurigakan itu di antaranya mengizinkan file malicious terpasang pada sistem, menghapus file penting, dan mematikan service yang sedang berjalan. File yang berkaitan dengan storage seperti VSS, Hyper V Volume, VirtualDisk dan Veaam vPower NFS mulai dinonaktifkan dan tidak bisa berjalan.
“Tepatnya Windows Defender berhasil dilumpulkan pada tanggal 20 Juni 2024 pukul 00.55 sehingga tidak bisa lagi beroperasi,” kata Ariandi.
Sampai saat ini, menurut Ariandi, tim BSSN masih terus berupaya menginvestigasi secara menyeluruh pada bukti forensik walau dengan segala keterbatasan alat bukti yang didapat. Terbatasnya tim BSSN dalam mengidentifikasi alat bukti karena alat bukti yang terkunci oleh ransomware.
Meski begitu, Ariandi mengatakan BSSN telah berhasil menemukan sumber serangan ransomware dengan nama Brain Chipper Ransomware yang merupakan pengembangan dari ransomware lockbit 3.0. Untuk selanjutnya sampel ransomware akan dilakukan analisis lebih lanjut dengan melibatkan institusi kemananan siber lainnya.
Menurut Ariandi, BSSN akan menjadikan insiden yang sedang terjadi ini sebagai pelajaran penting ke depannya dan mengupayakan mitigasi agar kejadian serupa tidak terjadi lagi di waktu yang akan datang.
