Di hari yang sama dengan munculnya pernyataan Brain Cipher, beredar kabar pula bahwa sebuah akun bernama "aptikakominfo" menjual data-data milik Kementerian Komunikasi dan Informatika seharga US$121.000 (Rp1,98 miliar) di forum hacker BreachForums.

Data yang dijual mencakup data pribadi, lisensi software sistem keamanan, dan dokumen kontrak dari Pusat Data Nasional dari 2021 hingga 2024, merujuk laporan Falconfeeds.io, organisasi intelijen keamanan siber, di akun X-nya.

Belum jelas apakah data yang dijual terkait dengan serangan ransomware yang dilakukan Brain Cipher terhadap PDNS di Surabaya.

Awal serangan dan dampaknya

Menurut kronologi versi pemerintah, mulanya ada upaya untuk menonaktifkan fitur keamanan Windows Defender di PDNS Surabaya sejak 17 Juni, pukul 23.15 WIB.

Aktivitas membahayakan lalu berlangsung sejak 20 Juni, pukul 00.54 WIB, termasuk instalasi file berbahaya, penghapusan file sistem penting, dan penonaktifan layanan yang sedang berjalan. File yang terkait dengan storage atau penyimpanan mulai dimatikan dan tertutup tiba-tiba.

Semenit berselang, Windows Defender disebut mengalami "crash" dan tidak bisa beroperasi.

Pada 20 Juni, Badan Siber dan Sandi Negara (BSSN) mendapat laporan dari tim PT Sigma Cipta Caraka (Telkomsigma) selaku vendor PDNS Surabaya bahwa seluruh layanan di fasilitas itu tidak bisa diakses.

Imbasnya, sejumlah layanan publik termasuk yang terkait imigrasi dan pendaftaran pelajar sekolah baru jadi terganggu.

Dikutip dari BBC Indonesia, setelah melakukan forensik digital selama beberapa hari, tim BSSN pada 23 Juni menemukan bahwa Brain Cipher ada di balik insiden tersebut.

Brain Cipher adalah kelompok peretas yang beraksi menggunakan varian ransomware LockBit 3.0.

Secara umum, ransomware adalah jenis malware atau program berbahaya yang bila terinstal dapat mengunci file atau gawai seperti komputer dan ponsel pintar. Bila ingin mendapat sandi untuk membuka kuncinya, korban biasanya diminta untuk membayar sejumlah uang.

Sementara itu, secara khusus ransomware LockBit biasanya tak sekadar mengunci file yang ada, tapi juga mencurinya. Bila korban tak membayar, pelaku bisa mengancam untuk menyebarkan data yang telah diambil.

Pada 24 Juni, Menteri Komunikasi dan Informatika, Budi Arie Setiadi, mengonfirmasi bahwa pelaku serangan ransomware ke PDNS Surabaya memang meminta uang tebusan US$8 juta atau sekitar Rp131,8 miliar untuk membuka gembok pada data-data di fasilitas itu.