Ahli Siber Ungkap Kronologi Geng Ransomware Jebol Sistem KAI

Petugas memberikan informasi kepada penumpang yang akan berangkat di pintu kereta lokal Stasiun Bandung, Bandung, Jawa Barat, Jumat (5/1/2024). PT. KAI melakukan penyesuaian jadwal dan pengalihan tujuan jalur selatan hanya sampai di Stasiun Rancaekek untuk penumpang kereta yang terdampak kecelakaan antara kereta KA Turangga dan keret Commuterline Bandung Raya. ANTARA FOTO/Novrian Arbi/YU — Foto: Antara Foto/Novrian Arbi

Jakarta -

Lembaga riset keamanan CISSReC telah melakukan investigasi terkait dugaan peretasan sistem keamanan IT PT KAI. CISSReC mengungkap cara kerja kelompok peretasan dan bagaimana mereka menyusup ke sistem perusahaan perkeretaapian Indonesia ini.

Chairman CISSReC Pratama Persadha mengatakan peretasan kepada KAI dilakukan oleh gang ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dikeluarkan oleh mereka.

Disampaikannya bahwa geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan. Setelah berhasil masuk mereka berhasil mengakses dashboard dari beberapa sistem KAI dan mengunduh data yang ada di dalam dashboard tersebut.

SCROLL TO CONTINUE WITH CONTENT

"Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah karyawan KAI yang mereka dapatkan," ujar Pratama dalam keterangan tertulisnya, Selasa (16/1/2024).

"Sehingga ini mempertegas bahwa memang Stormouse masuk melalui akses internal karyawan yang berhasil mereka dapatkan, baik itu melalui metode phising serta social engineering atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers," sambungnya.

Pratama menduga KAI sudah menyadari adanya serangan tersebut dan sudah melakukan beberapa mitigasi seperti menghapus menonaktifkan portal VPN di situsnya, di mana peretas masuk dan mengakses sistem, serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous terebut.

Lebih lanjut, menurut geng ransomware Stormous hal tersebut cukup sia-sia karena mereka bukan baru satu jam masuk ke dalam sistem KAI melainkan sudah hampir satu minggu berhasil masuk dan mengunduh data yang ada dalam sistem.

Pratama menjelaskan melakukan mitigasi seperti itu bisa saja tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem KAI yang dapat mereka pergunakan untuk mengakses kembali sistem KAI kapanpun mereka mau, karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka.

"Sehingga jika tidak dapat menemukan backdoor tersebut maka salah satu langkah yang paling aman untuk dilakukan adalah melakukan deployment sistem di server baru dengan menggunakan backup data yang KAI miliki dengan sebelumnya melakukan perbaikan pada portal atau data kredensial karyawan yang diketahui bocor tersebut," tuturnya.

Menurut data yang berhasil CISRReC gali, terdapat 82 kredensial karyawan KAI yang bocor serta hampir 22,5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan perusahaan plat merah ini.

"Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI tersebut," pungkas Pratama.