Langsung ke konten utama
← BlogThreat Intelligence

5 Serangan Ransomware Terbesar pada Perusahaan Indonesia (dan yang Bisa Mereka Lakukan)

Menelaah lima insiden ransomware besar yang menimpa organisasi Indonesia, apa yang benar-benar terjadi versus klaim penyerang, dan kontrol yang bisa menghentikannya.

M
Mirna Indriasari · Security Program Manager
11 Juni 2026·4 menit

Ransomware telah menyerang sebagian institusi terpenting Indonesia, dari bank milik negara hingga pusat data nasional. Pelajarannya berharga, tetapi hanya jika kita jujur soal faktanya. Pada beberapa kasus, penyerang membuat klaim dramatis yang tak pernah dikonfirmasi korban, dan pada dua kasus korban membantah adanya pelanggaran sepenuhnya. Memisahkan yang terkonfirmasi dari yang diklaim adalah disiplin pertama analisis insiden yang baik, dan begitulah artikel ini ditulis.

Lima kasus yang mendefinisikan ancaman

Telusuri kasus di bawah ini. Tiap kasus menunjukkan apa yang terkonfirmasi versus diklaim, akar penyebab yang mungkin, dan kontrol yang akan mengubah hasilnya.

Tiga yang pertama terdokumentasi baik. Bank Syariah Indonesia mengalami gangguan layanan mobile, ATM, dan cabang selama beberapa hari pada Mei 2023, yang awalnya disebut bank sebagai pemeliharaan. LockBit mengaku bertanggung jawab dan menyatakan mengambil 1,5 terabyte mencakup sekitar 15 juta orang, angka yang tak pernah dikonfirmasi bank. Detail paling merugikan bukanlah klaim itu, melainkan hari-hari gangguan pada bank besar.

Insiden pusat data nasional pada Juni 2024 adalah kasus terjelas. Ransomware Brain Cipher, yang dibangun dari perkakas LockBit yang bocor, mengganggu sekitar 210 layanan pemerintah termasuk imigrasi dan pemeriksaan bandara. Badan siber nasional mengonfirmasi hanya sekitar 2 persen data yang dicadangkan, yang mengubah insiden yang seharusnya tertangani menjadi gangguan nasional.

Bank Indonesia mengungkap infeksi Conti pada Januari 2022. Bank sentral menyatakan sekitar 16 komputer di satu cabang terdampak tanpa kehilangan data inti, sementara peneliti melaporkan penyebaran jauh lebih luas. Jarak antara dua versi itu sendiri adalah pelajaran tentang bagaimana cakupan pelanggaran diperdebatkan.

Dua yang terakhir bersifat peringatan. Operator kereta KAI dicantumkan kelompok Stormous pada Januari 2024, yang mengklaim kredensial dan menuntut tebusan; KAI menyatakan tak menemukan bukti kebocoran dari sistemnya. Bank Rakyat Indonesia disebut kelompok lain pada Desember 2024, tetapi bank, badan siber, dan kementerian membantah adanya pelanggaran. Pencantuman di situs kebocoran bukanlah bukti kompromi.

Jalur masuk yang umum

Di seluruh kasus ini dan ransomware secara umum, segelintir pintu yang sama terus digunakan.

Phishing tetap menjadi metode pengiriman klasik, seperti dilaporkan pada kasus Bank Indonesia. Kredensial curian yang dipakai pada VPN atau remote desktop yang terekspos kini sama umumnya, dan itulah jalur masuk yang diklaim untuk KAI. Sistem menghadap internet yang tak ditambal serta proteksi endpoint yang lemah atau dinonaktifkan melengkapi daftarnya. Pada pusat data nasional, penyerang dilaporkan menonaktifkan Windows Defender sebelum menyebarkan ransomware, yang langsung menunjuk pada celah proteksi dan pemantauan endpoint.

Memutus rantai serangan

Ransomware tidak terjadi dalam satu momen. Ia bergerak melalui tahapan, dan pembela dapat memutus rantai di tahap mana pun. Itulah bagian yang menggembirakan: Anda tak perlu pertahanan sempurna, Anda perlu menghentikan penyerang sebelum enkripsi.

Dua tahap layak mendapat perhatian khusus bagi organisasi Indonesia. Gerak lateral adalah yang mengubah intrusi satu host menjadi bencana seluruh organisasi, seperti ketika infeksi menyebar dari satu cabang bank ke banyak kota. Segmentasi jaringan dan hak minimum membendung penyebaran itu. Dan tahap akhir, enkripsi, hanya memaksa keputusan tebusan jika Anda tak bisa memulihkan. Cadangan offline yang immutable dan teruji berkala adalah kontrol terpenting, seperti yang dipelajari pusat data nasional dengan cara yang pahit.

Yang bisa mereka lakukan

Kontrol yang akan mencegah atau membendung insiden ini tidaklah eksotis. Autentikasi multifaktor tahan-phishing pada email, VPN, dan akun administrator akan menutup jalur masuk yang paling umum. Endpoint detection and response dengan tamper protection, diawasi tim pemantau sepanjang waktu, akan menangkap penonaktifan alat keamanan. Penambalan tepat waktu mengurangi permukaan yang terekspos. Segmentasi jaringan menghentikan penyebaran. Dan cadangan offline yang immutable menghapus daya tawar penyerang sepenuhnya.

Pola di setiap kasus adalah bahwa bagian mahalnya tak pernah tebusan itu sendiri. Yang mahal adalah gangguan, kepercayaan yang hilang, dan upaya panik memulihkan tanpa cadangan. Pencegahan jauh lebih murah dari semua itu.

Di Alpha Code, kami membantu organisasi Indonesia membangun pertahanan berlapis yang mengubah potensi berita utama menjadi insiden yang tertangani. Itu berarti SOC 24/7 yang mendeteksi perilaku penyerang sebelum enkripsi, dan rencana respons insiden yang sudah teruji untuk saat pencegahan tidak cukup. Jika Anda belum yakin cadangan Anda akan selamat dari serangan ransomware, itulah percakapan yang perlu dimulai.

Referensi

  • Gangguan Bank Syariah Indonesia dan klaim LockBit: BankInfoSecurity, The Jakarta Post (Mei 2023)
  • Insiden PDNS Brain Cipher dan konfirmasi BSSN: The Record, Tirto.id (Juni 2024)
  • Pengungkapan Conti oleh Bank Indonesia: Kompas.com, CNBC Indonesia, VOI.id (Januari 2022)
  • Pencantuman KAI oleh Stormous dan bantahan KAI: Jakarta Globe, VOI.id (Januari 2024)
  • Bantahan BRI atas klaim Bashe: Jakarta Globe, Tempo.co, pernyataan Komdigi (Desember 2024)
On This Page
Lima kasus yang mendefinisikan ancamanJalur masuk yang umumMemutus rantai seranganYang bisa mereka lakukanReferensi
Written By
M
Mirna Indriasari
Security Program Manager

Mirna manages security programs across Alpha Code's client base in Southeast Asia, with a focus on ransomware preparedness, incident response, and the controls that reduce breach impact.

LinkedIn