Analisa Serangan Hacker pada Pusat Data Nasional (PDN), Data Masih Memungkinkan Terselamatkan

ANALISA SERANGAN HACKER PADA PUSAT DATA NASIONAL 

KRONOLOGI SERANGAN,  GEJALA-GEJALA TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN, CARA PENCEGAHAN DAN PENGAMANAN

I. PENDAHULUAN

Seminggu terakhir ini dunia IT ditanah air dihebohkan oleh serangan hacker yang merusak sistem Pusat Data Nasional (PDN) yang berada di Surabaya, yang menghentikan banyak layanan public pemerintah terutama di imigrasi yang mengalami serangan virus ransomware.

Dengan berbagai berita Analisa dari para pakar IT yang beraneka ragam yang dapat ditemukan melalui berbagai media berita online, hal ini menarik saya untuk ikut memberikan sumbangsih Analisa terkait apa yang terjadi pada PDN 2.

Analisa ini saya buat dengan berbagai keterbatasan kemampuan saya yang masih cukup minim pengetahuan dalam dunia IT, namun tidak menyurutkan niat untuk memberikan pandangan dan masukan agar hal ini tidak terjadi Kembali di kemudian hari.

II. KRONOLOGI SERANGAN

Dengan mengetahui Kronologi Serangan yang sesugguhnya, kedepan kita dapat mencegah lebih awal agar serangan dapat dihindari, Berdasarkan Analisa saya, kuat dugaan saya kronologi serangan yang terjadi adalah sebagai berikut :

1. FASE PERTAMA

Fase pertama terjadi pengambilalihan/menaklukan Sistem Operasi Windows Server yang digunakan dengan cara :

• Mencari Port Remote Desktop Windows yang terbuka secara online menggunakan IP Public (Mencari dan menentukan Target Sasaran).
• Mencari tahu User Name dengan previlege Administrators yang digunakan untuk login ke Windows, secara default user name tersebut adalah Administrator atau mencoba remote desktop ke server target untuk melihat diplay user-user yang tampil dilayar.
• Melakukan Brute Force Password user name Administrators Windows Server tersebut untuk mendapatkan passwordnya.
• Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
• Mengganti Password dan mematikan user Administrators lainnya sehingga Server sudah Full dalam kendalinya.
• Mematikan service-service yang sedang berjalan terutama Antivirus, Windows Defender, virtual machine (VM), Database, sistem restore windows, mematikan port icmp request, dll  
• Mengirim file-file executetable virus ransomware ke dalam server target

2. FASE KEDUA

FASE KEDUA merupakan fase yang paling mematikan/merusak sistem, fase ini terdiri dari tahapan sebagai berikut :

• menjalankan file-file virus ransomeware yang sudah masuk kedalam server target (FASE PERTAMA point g)
• Proses Encrypted File-file kedalam file-file temporary.
• Menghapus File-File Asli setelah proses encrypted selesai.
• Merename File-File hasil Encrypted menjadi File-File Asli