Mempelajari 2 serangan siber di paruh awal 2025: Cegah hal serupa terjadi
Serangan siber masa kini sudah berkembang menjadi digital disaster (bencana digital) yang canggih, mampu melumpuhkan organisasi hanya dalam hitungan menit. Serangan ini tidak lagi sekadar eksploitasi permukaan; pelakunya kini menggunakan taktik tingkat lanjut untuk menyusup dan mengeksploitasi trust di dalam sistem penting. Karena model keamanan tradisional semakin sulit mengimbangi, organisasi harus mulai mengadopsi deteksi berbasis perilaku dan strategi pertahanan yang proaktif.
Dalam blog ini, kami membedah dua insiden siber besar di paruh awal 2025. Kami akan membahas bagaimana cara kerjanya, mengapa serangan tersebut berdampak besar, dan apa pelajaran yang bisa ditarik untuk masa depan keamanan siber.
1. Peretasan kripto Bybit
Pada awal 2025, serangan siber yang diduga disponsori negara menguras $1,5 miliar dalam bentuk Ethereum (ETH) dari salah saltu bursa kripto besar. Alih-alih mengeksploitasi vulnerability dalam kode, para penyerang justru memanipulasi proses internal yang dipercaya. Serangan presisi ini mengungkap celah dalam integritas transaksi dan kepercayaan operasional. Meski pencurian terjadi hanya dalam hitungan menit, dampaknya langsung mengguncang cara platform terpusat memandang keamanan infrastruktur mereka.
Rincian teknis
Rincian di bawah ini menekankan bagaimana penyerang mengeksploitasi developer machine untuk memanipulasi transaksi dan memindahkan 1,5 miliar dolar AS ETH tanpa terdeteksi:
Malware ditanam di perangkat developer yang terhubung ke Safe{Wallet}, digunakan untuk membangun transaksi multisig ETH.
Penyerang memodifikasi detail transaksi (seperti alamat penerima dan nilai uangnya) tepat sebelum tahap penandatanganan.
Transaksi yang diubah tetap valid dan lolos dari pengecekan internal Bybit karena tidak ada validasi pasca kode.
Sekitar 400.000 ETH (~$1,5 miliar) diarahkan ke wallet milik Lazarus Group dan langsung dicuci lewat mixer serta cross-chain bridge.
SIEM Bybit gagal mendeteksi perpindahan token yang tidak normal karena kurangnya behavior-based alerting.
Respons dan recovery pasca serangan
Begitu kebocoran terdeteksi, Bybit langsung menghentikan semua penarikan dan mengaktifkan protokol manajemen krisis. Karena jumlah aset yang dicuri sangat besar, mereka mengamankan likuiditas darurat dari mitra seperti Bitget, Antalpha, dan Galaxy Digital dengan meminjam puluhan ribu ETH untuk memenuhi lonjakan permintaan penarikan. Langkah cepat ini memungkinkan operasi sebagian dipulihkan dalam 72 jam, tetapi reputasi sudah terlanjur rusak dan pangsa pasar menurun drastis.
Insiden ini menekankan pentingnya strategi incident response (respons insiden) yang jelas dan sistem monitoring real-time.
Solusi seperti ManageEngine Log360 bisa membantu deteksi ancaman lebih dini, mengisolasi kebocoran lebih cepat, dan mendukung analisis forensik lewat kapabilitas SIEM dan UEBA.
2. Serangan ransomware pada pemerintahan Swiss
Pada pertengahan 2025, serangan ransomware terjadi di kontraktor IT Swiss, Radix, yang membuka risiko besar dari ketergantungan pihak ketiga. Beginilah jalannya serangan tersebut:
Rincian teknis
Penyerang menargetkan Radix, provider IT nonprofit IT untuk lembaga federal Swiss. Penyerang memanfaatkan kredensial yang lemah atau akses phishing.
Setelah berhasil masuk, penyerang menggunakan tool seperti RDP, PowerShell, dan Cobalt Strike untuk melakukan pergerakan lateral di jaringan yang buruk segmentasinya.
Grup ransomware Sarcoma ransomware lalu memasukkan malware untuk mengenkripsi file dan mengambil lebih dari 1,3 TB data sensitif pemerintah.
Karena tebusan tidak dipenuhi, data curian dipublikasikan di dark web.
Serangan ini melumpuhkan sistem Radix, berdampak pada operasional beberapa lembaga Swiss.
Serangan ini menyoroti bentuk klasik dari supply chain compromise, yang membuka risiko lemahnya keamanan pihak ketiga dalam infrastruktur penting.
Setelah serangan ini, pemerintah Swiss bersama GovCERT.ch melakukan investigasi dengan Radix untuk menilai kerusakan dan memulihkan operasi. Meskipun akhirnya sistem berhasil dipulihkan, lebih dari 1,3 TB data sensitif milik lembaga federal sudah terlalu bocor di dunia maya, sehingga memicu risiko jangka panjang terkait privasi dan keamanan nasional.
Serangan ini memperlihatkan lemahnya keamanan vendor pihak ketiga dan kurangnya isolasi jaringan. Setelah berhasil masuk ke sistem Radix, penyerang bergerak secara lateral tanpa terdeteksi, tidak ada alert sama sekali. Para ahli menilai, pergerakan semacam itu bisa terdeteksi lebih awal jika menggunakan solusi monitoring endpoint seperti ManageEngine Log360. Itulah mengapa, insiden ini menekankan pentingnya kontrol risiko pihak ketiga dan deteksi ancaman berkelanjutan tanpa batas-batas organisasi.
Key takeaways
Insiden peretasan kripto Bybit dan serangan ransomware di vendor pemerintahan Swiss memang berada dalam sektor yang berbeda, tetapi keduanya memiliki benang merah yang sama: serangan modern berkembang karena blind trust dan weak link pada ekosistem digital yang rapuh. Pada dua kasus ini, penyerang memanfaatkan titik lemah sistem, baik itu developer machine yang dikompromikan atau vendor pihak ketiga yang tidak aman.
Artinya, strategi keamanan lama sudah tidak cukup. Organisasi tidak boleh hanya mengamankan sistem inti, tetapi juga harus memvalidasi setiap trust relationship, memperkuat kontrol di seluruh supply chain, dan memastikan segmentasi jaringan agar pergerakan lateral bisa dicegah.
Kini, keamanan siber bukan cuma merespons serangan, tetapi juga meminimalisir risiko serangan di seluruh ekosistem secara proaktif. Itu artinya, Anda perlu menerapkan arsitektur Zero Trust, menjalankan audit rutin, berinvestasi pada threat intelligence, dan meningkatkan kesadaran karyawan.
Di era ketika penyerang hanya butuh satu titik lemah, ketahanan organisasi harus dimulai dari semua lini. Tetaplah waspada dan selalu aman!
Tulisan ini merupakan terjemahan blog berjudul Top cyberattacks from the last six months: A deep dive into the digital battlefield karya Arun Kumar Pathamanathan