Pakar Ungkap Kronologi Serangan Ransomware Terhadap PT KAI

Lembaga riset keamanan CISSReC berhasil mengungkap kronologi serangan geng ransomware yang menyerang sistem keamanan IT PT Kereta Api Indonesia (KAI). Chairmain CISSReC, Pratama Persadha, mengungkapkan bahwa kelompok peretas yang dikenal sebagai Stormous telah berhasil meretas sistem KAI dengan menggunakan beberapa kredensial dari karyawan melalui akses VPN.

Serangan ini terjadi sekitar satu minggu sebelum informasi peretasan diumumkan oleh kelompok peretas. Pratama menjelaskan bahwa Stormous berhasil mengakses dashboard dari beberapa sistem KAI dan mengunduh data yang terdapat di dalamnya. Mereka juga membagikan tangkapan layar dari dashboard yang diakses menggunakan kredensial salah satu karyawan KAI.

"Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah satu karyawan KAI yang mereka dapatkan," ujar Pratama dalam keterangan tertulisnya, Selasa (16/1/2024), dikutip dari detik.inet.

"Sehingga ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan, baik itu melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers," sambungnya.

Meskipun KAI telah melakukan mitigasi, seperti menonaktifkan portal VPN di situsnya dan menghapus beberapa kredensial yang diperoleh Stormous, Pratama menduga bahwa langkah tersebut mungkin tidak efisien. Stormous telah berhasil masuk dan mengunduh data selama hampir satu minggu sebelum peretasan diumumkan.

Pratama juga menunjukkan keprihatinan terhadap kemungkinan adanya backdoor yang dipasang oleh Stormous di dalam sistem KAI. Hal ini dapat memungkinkan mereka untuk mengakses kembali sistem kapanpun mereka inginkan. Dengan lebih dari 82 kredensial karyawan KAI yang bocor, serta ribuan kredensial pelanggan dan karyawan perusahaan mitra, dampak keamanan data menjadi semakin serius.

"Sehingga jika tidak dapat menemukan backdoor tersebut maka salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang KAI miliki dengan sebelumnya melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut," tuturnya.

Dari data yang berhasil digali oleh CISSReC, terdapat 82 kredensial karyawan KAI yang bocor, hampir 22,5 ribu kredensial pelanggan, dan 50 kredensial dari karyawan perusahaan mitra. Semua data ini didapatkan melalui sekitar 3.300 URL yang menjadi permukaan serangan eksternal dari situs PT KAI.