Kredensial 1.900 Situsweb Pemerintah Indonesia Dicuri Malware Stealer
Ilustrasi | Foto: freepik.com
Cyberhtreat.id – Serangan masif dilakukan oleh peretas perangkat lunak jahat pencuri informasi (stealer malware) yang menargetkan kredensial ribuan situsweb pemerintah Indonesia.
Informasi temuan awal itu pertama kali diungkap oleh lembaga riset web gelap (darkweb), DarkTracer, yang diunggah di akun Twitter-nya pada Selasa (2 Maret 2022).
DarkTracer beberapa kali mengungkap serangan siber dan kebocoran data yang terjadi di Indonesia. Terakhir, mereka mengungkap bahwa Bank Indonesia menjadi korban serangan ransomware Conti. (Baca: 828 Komputer Bank Indonesia Diduga Terinfeksi Ransomware Conti)
“1.753.658 kredensial dari 49.880 situsweb pemerintah telah bocor dari pengguna yang terinfeksi malware pencuri. Pengguna dapat mencakup pengguna pemeritnah atau pengguna publik dari layanan publik pemerintah,” tulis DarkTracer tentang temuannya tersebut.
DarkTracer mengatakan, laporan internal itu didukung oleh modul kumpulan data yang diretas, bersumber dari 100 miliar mahadatadi seluruh darkweb dan deepweb.
Sebagian alamat domain yang kredensial login penggunanya telah dicuri oleh malware pencuri informasi. | Foto: DarkTracer
Dari jumlah temuan DarkTracer, Cyberthreat.id memilah lagi yang khusus lembaga pemerintah Indonesia. Serangan ini hampir merata menargetkan pengguna layanan di kementerian atau lembaga pemerintah, sebut saja Kementerian Keuangan, Kementerian Pendidikan, Kebudayaan, Riset dan Teknologi, Kementerian Dalam Negeri, Kementerian Tenaga Kerja, dan lain-lain.
Tak hanya itu, pemerintah provinsi hingga kota/kabupaten tak luput dari serangan malware tersebut.
Dalam file Excel yang dibagikan DarkTracer, khusus Indonesia, catatan Cyberthreat.id mencapai 1.900 situsweb dengan jumlah 268.945 kredensial yang bocor.
Malware pencuri
DarkTracer tidak menyebutkan jenis malware pencuri apa yang menargetkan pengguna situsweb tersebut.
Bulan lalu, mereka juga mengungkapkan 4.145 pengguna situsweb pemerintah Indonesia terinfeksi malware pencuri dan kredensial login telah bocor di darkweb. (Baca: 4.145 Pegawai Pemerintah Indonesia Terinfeksi Malware Stealer, Kredensial Login DIbocorkan di Dark Web)
Pada 2020, Badan Siber dan Sandi Negara mengumumkan nama-nama malware pencuri ini. Ada lima malware pencuri yang menyebabkan 79.439 pelanggaran data di Indonesia sepanjang 2020. Kelima malware ini memiliki ciri khas yang sama yaitu mencuri informasi kredensial seperti username, password, email, kartu kredit, dan lain-lain.
Jenis malware tersebut, antara lain Russian password, Vidar stealer, AzorUlt Botne, Smoke Loader, Racoon stealer, dan Predator stealer. Dari kelimanya, jenis Russian password dan Vidar stealer paling banyak memakan korban. (Baca: 5 Malware Pencuri yang Memicu Insiden Data Breach pada 2020)
Bahaya yang ditimbulkan
Peneliti keamanan siber Adi Saputra mengatakan serangan malware pencuri adalah murni terjadi pada sisi perangkat pengguna, bukan berada di sisi server situsweb.
Malware yang menginfeksi ini umumnya berupa trojan, berpura-pura sebagai perangkat lunak sah atau resmi.
Menurut Adi, trojan pencuri informasi tersebut biasanya disebarkan melalui email phishing. Aktor ancaman umumnya melampirkan file atau memberikan sebuah tautan untuk diklik pengguna yang ditargetkan.
Ketika pengguna tergiur untuk mengklik atau mengunduh file bahaya itu dan menjalankannya, malware mulai menginfeksi perangkat pengguna. Sesuai dengan perintah dan kontrol operator, malware mulai mengumpulkan data-data yang dicari, seperti kredensial login dan lain-lain.
Pencurian kredensial juga bisa dilakukan oleh peretas melalui tautan phishing atau jebakan. Tautan ini mengarahkan pada login di halaman web yang mirip dengan situsweb yang ditargetkan.
Dalam amatan Adi, jenis-jenis malware pencuri yang beredar di Indonesia, tak jauh berbeda dengan temuan BSSN, antara lain Redline, Formbook, Loki, Raccoon, AVE Maria, Pony, Azorult, dan Predator.
Lalu, apa bahaya dari malware ini? “Jelas data perusahaan, termasuk yang bocor di forum-forum [penjualan data pribadi di internet, red] atau data bisa dijual,” ujar pendiri ICD Community tersebut kepada Cyberthreat.id, Jumat (4 Maret)
Oleh karenanya, untuk mencegah serangan malware pencuri, ia menyarankan agar pengguna memastikan telah menginstal perangkat lunak antivirus terbaru.
“Pastikan semua antivirus berjalan dengan normal dan di-update,” katanya.
Jika perangkat telah terinfeksi, Adi menuturkan, “Sebenarnya kalau stealer malware, bisa dilacak menggunakan alat endpoint detection dan response (EDR). Jika sudah terinfeksi, lakukan diskoneksi dari network atau internet, lalu lakukan pembersihan komputer secara menyeluruh,” ujarnya.
Selain itu, ia juga meminta pengguna menggunakan perangkat berbeda dengan pemakaian pribadi saat ingin mengakses jaringan kantor. Faktor pandemi Covid-19 yang memaksa orang bekerja secara jarak jauh, “menunjukkan ketidaksiapan pengguna antisipasi serangan yang tidak terdeteksi karena di luar kantor,” ujarnya.
Hal lain yang tak kalah penting ialah pengguna jangan mengunduh atau mengklik sembarang file dan pastikan alamat domain yang diakses benar-benar halaman web yang asli.[]
