Situs PT Kereta Api Indonesia Diretas, Hacker Dapat Data Penting Ini

AKURAT.CO - PT. Kereta Api Indonesia (PT. KAI) menjadi korban kebocoran data yang terpublikasi pertama kali di tahun 2024. Menurut cuitan dari akun @TodayCyberNews di platform X (Twitter) pada tanggal 14 Januari lalu, peretas mengklaim telah berhasil mencuri beberapa data sensitif.

Diantaranya informasi karyawan, data pelanggan, data perpajakan, catatan perusahaan, informasi geografis, sistem distribusi informasi dan berbagai data internal lainnya.

Lembaga Riset Keamanan Siber CISSReC melakukan investigasi dan menemukan bahwa peretasan kepada PT. KAI dilakukan oleh gang ransomware bernama Stormous sekitar satu minggu sebelum informasi peretasan dikeluarkan oleh mereka.

Geng ransomware Stormous tersebut mendapatkan akses masuk ke sistem PT. KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan.

Setelah berhasil masuk, mereka berhasil mengakses dashboard dari beberapa sistem PT. KAI dan mengunduh data yang ada didalam dashboard tersebut.

Geng ransomware Stormous tersebut juga membagikan tangkapan layar sebuah dashboard yang merupakan dashboard yang diakses menggunakan kredensial salah satu karyawan KAI yang mereka dapatkan.

Ini mempertegas bahwa memang Stormous masuk melalui akses internal karyawan yang berhasil mereka dapatkan, baik itu melalui metode phising serta social engineering, atau mereka membeli kredensial tersebut dari peretas lain yang menggunakan malware log stealers.

Pada laman darkweb nya, geng ransomware Stormous membagikan sample data yang mereka curi dari PT. KAI sebesar 2,2 GB file dalam bentuk terkompresi dan diberi nama kai.rar. Geng peretas Stormous memberikan tenggat waktu selama 15 hari kepada PT. KAI untuk melakukan negosiasi dan membayar tebusan yang mereka minta yaitu sebesar 11,69 BTC atau hampir setara dengan 7,9 milyar rupiah.

Peretas mengancam akan mempublikasikan semua data yang mereka dapatkan jika tebusan tidak dibayarkan. Terdapat 82 kredensial karyawan PT. KAI yang bocor, serta hampir 22.5 ribu kredensial pelanggan dan 50 kredensial dari karyawan perusahaan lain yang bermitra dengan PT. KAI.

Data kredensial tersebut didapatkan dari sekitar 3300 url yang menjadi permukaan serangan external dari situs PT. KAI.

Chairman CISSReC, Pratama Persadha, menjelaskan PT. KAI sepertinya sudah menyadari adanya serangan tersebut dan sudah melakukan beberapa mitigasi.

Seperti menghapus atau menonaktifkan portal VPN di situs PT. KAI dimana peretas masuk dan mengakses sistem PT. KAI, serta menghapus beberapa kredensial yang berhasil didapatkan oleh geng ransomware Stormous terebut.

"Namun menurut geng ransomware Stormous hal tersebut cukup sia-sia karena mereka bukan baru satu jam masuk ke dalam sistem PT. KAI, namun sudah hampir satu minggu mereka berhasil masuk dan mengunduh data yang ada di dalam sistem," ujar Pratama dalam keterangan tertulis yang diterima AKURAT.CO.

"Melakukan mitigasi seperti itu bisa saja tidak efisien karena ada juga kemungkinan bahwa geng ransomware tersebut telah memasang backdoor di dalam sistem PT. KAI yang dapat mereka pergunakan untuk mengakses kembali sistem PT. KAI kapanpun mereka mau, karena tentu saja mereka tidak akan mau melepaskan begitu saja target peretasan mereka," pungkasnya.