Indonesia

From Data Breaches to Ransomware: Cyber Attacks in Indonesia, Jan–Sep 2025

admin

Indonesia saw 3.27 million cyber threats detected against users in Q1 2025, with browser-based drive-by and social engineering as the dominant vectors. The 2025 landscape features double-extortion ransomware actors such as Babuk2, MedusaLocker, Sarcoma, Crypto24, TheGentlemen, and Warlock, along with APTs like Mysterious Elephant, Lazarus, and Sidewinder, as governance efforts advance (PD PDP law and financial cyber guidelines). #Babuk2 #MedusaLocker #Sarcoma #Crypto24 #TheGentlemen #Warlock #MysteriousElephant #Lazarus #Sidewinder #Kemhan #PLN

Keypoints

  • Social engineering remains a leading global tactic in 2025 and a major Indonesian entry point, including phishing and credential theft.
  • Double-extortion ransomware actors such as Babuk2, MedusaLocker, Sarcoma, Crypto24, TheGentlemen, and Warlock target Indonesian organizations across government, energy, finance, and health.
  • Defacement of government sites persists due to aging CMS and weak configurations, highlighted by the Kejaksaan Agung incident.
  • Over 3.2 million internet-based threats were observed against Indonesian users in Q1 2025, with browser-based vectors dominating.
  • Regulatory actions in 2025 include finalizing PDP-related rules and issuing cyber security guidelines for digital asset service providers by OJK, signaling stronger governance.

Ringkasan eksekutif (Q1–Q3 2025)

  • Volume & tren umum.
    • 3.269.174 ancaman siber terdeteksi terhadap pengguna Indonesia pada Q1 2025 (15,5% pengguna terdampak); vektor dominan berasal dari browser (drive‑by & rekayasa sosial). Ini adalah data telemetri Kaspersky untuk Indonesia. CNN Indonesia
    • 139 “serangan digital” (peretasan, doxxing, disinformasi, pembungkaman daring, dsb.) dicatat SAFEnet selama Januari–Maret 2025; naik >2× dibanding Q1 2024. GoodStats Data
    • Rekayasa sosial menjadi teknik paling efektif secara global pada 2025 (Unit 42 Palo Alto Networks menyebut 36% kasus melibatkan social engineering), sinyal kuat bahwa phishing/BEC dan eksploitasi kredensial masih jadi pintu masuk utama di Indonesia. Koran Jakarta
  • Sektor yang paling sering disorot media/peneliti pada 2025: pemerintahan/pertahanan, keuangan (bank & asuransi), energi/utilitas, telekomunikasi, dan kesehatan. (Rinciannya di kronologi & studi kasus di bawah.)
  • Lanskap pelaku 2025: kombinasi ransomware “double extortion” (mis. Babuk2, MedusaLocker, Sarcoma, Crypto24, TheGentlemen, Warlock), kelompok hacktivist/defacer, serta APT yang sebelumnya menargetkan Indonesia (mis. Mysterious Elephant, Lazarus, Sidewinder; pola 2024 yang relevan ke 2025). Ransomware Live
  • Kebijakan & tata kelola (2025):
    • Implementasi UU Pelindungan Data Pribadi (UU PDP): Kemkomdigi/Komdigi menyatakan aturan turunan (Perpres/PP) masih difinalisasi sepanjang 2025 (target awal akhir Feb, berlanjut proses harmonisasi & pembentukan otoritas PDP). Liputan6
    • OJK merilis Pedoman Keamanan Siber untuk penyelenggara perdagangan aset keuangan digital (Agustus 2025)—indikasi penguatan kewajiban cyber di sektor jasa keuangan digital. Bareksa.com

Kronologi & insiden penting (Jan–Sep 2025)

Catatan: “Terkonfirmasi” = ada pernyataan resmi korban/otoritas; “klaim” = di leak site pelaku/analitik pihak ketiga, belum tentu diakui korban; “hoaks/dibantah” = telah disanggah resmi.

Januari 2025

  • [Klaim] Kebocoran dataset NPWP & MyIndiHome (Telkom Indonesia). Entri “INDONESIA TAXPAYER IDENTIFICATION NUMBER (NPWP)” dan “MYINDIHOME TELKOM INDONESIA” muncul di leak site Babuk2 (tanggal penemuan 28/1). Verifikasi publik tidak tersedia.

Februari 2025

  • [Diduga defacement] Kejaksaan Agung (kejagung.go.id). Sejumlah media dan peneliti menyebut halaman depan diduga diubah (deface). Kejagung menyebut situs sedang maintenance—tidak mengakui kebobolan. Status: tidak terkonfirmasi. detikinet
  • [Rumor dibantah] BCA. Muncul klaim di media sosial soal target ransomware; BCA menyatakan tidak ada kebocoran data nasabah. detikfinance
  • [Klaim] tni.mil.id muncul di daftar korban “Apt73” (discovery 25/2). Tak ada pengakuan resmi.

Maret 2025

  • Laporan SAFEnet Q1: 139 serangan digital (lonjakan 2× YoY). GoodStats Data
  • [Gangguan layanan & investigasi] Bank DKI. Gangguan sejak 29/3 memicu audit dan langkah manajerial. Dirut Bank DKI membantah ada kebocoran data/dana nasabah, sementara pemberitaan lain menulis dugaan kebocoran dana perusahaan dan pelaporan ke Bareskrim. Status: layanan terganggu; forensik/audit dinyatakan berjalan. Katadata
  • [Klaim] pajak.go.id, dukcapil.kemendagri.go.id, dan pln.co.id tercatat di leak site Babuk2 (discovery 18–31/3). Tak ada konfirmasi resmi—perlakukan sebagai klaim.

April 2025

  • [Klaim] Firma hukum Mochtar Karuwin Komar (MKK) – “Crypto24”. Ditandai oleh tracker (8/4). Status: klaim komunitas intel. Ransomware Live
  • [Klaim] FKS Group – “Sarcoma” (8/4). Status: klaim komunitas intel. HookPhish

Mei 2025

  • Statistik serangan berbasis internet (Q1) dipublikasikan media: >3,2 juta ancaman menyasar pengguna Indonesia, dominan via peramban. CNN Indonesia
  • [Klaim] ABDA Insurance – “IMNCrew/IMN” (5–6/5). Beberapa intel brief menyebut data dipublikasikan pelaku. Tidak ada rilis korban. HookPhish
  • [Klaim] Mulia Raya – “MedusaLocker” (29/5). Status: klaim komunitas intel. HookPhish
  • [Diduga akses ilegal] Telkomsel. Laporan investigasi media menyebut akun “Captainfier” menawarkan akses panel internal (27/5). Belum ada konfirmasi saat itu; insiden terpisah pada September (notifikasi anomali) kemudian dibantah sebagai peretasan (lihat September). Status: klaim pihak ketiga, under investigation publik. Narasi Tv

Juni 2025

  • Tren rekayasa sosial (phishing, peniruan identitas/AI) diulas luas di media nasional; konsisten dengan data Unit 42 2025. Koran Jakarta

Juli 2025

  • [Investigasi resmi] Kementerian Pertahanan. Dugaan kebocoran ~700 ribu data pegawai diunggah akun “DigitalGhost”. Kemhan mengakui situs lama diretas dan menyebut data berasal dari website lama; investigasi berjalan. Status: dalam penyelidikan. CNN Indonesia
  • [Klaim] 4,6 juta data penduduk Jawa Barat. Akun “DigitalGhostt” mengklaim menguasai data; belum ada konfirmasi/penjelasan resmi terbuka. Status: klaim di media sosial. CNN Indonesia
  • [Klaim] Klinik Dr. Indrajana – “SatanLockv2” (discovery 6/7). Tidak ada rilis korban.

Agustus 2025

  • [Isu dibantah] Dukcapil Jakarta Timur. Ramai klaim ~500 ribu data bocor; Disdukcapil DKI membantah dan menyatakan konten yang beredar bukan berasal dari server mereka. Republika Online
  • [Klaim] PLN kembali disebut di leak site (DragonForce; discovery 21/8; estimasi tanggal serangan 31/3). Tanpa pengakuan resmi—perlakukan sebagai klaim.

September 2025 (hingga 12/9)

  • [Anomali notifikasi MyTelkomsel] Pesan “NO SYSTEM IS SAFE!” muncul ke sebagian pengguna 4/9; Telkomsel membantah dugaan peretasan dan menyebut tidak ada tautan berbahaya/kebocoran data. medcom.id
  • [Klaim] Airfast Indonesia – “Warlock” (25/8; dipublikasikan di tracker awal September), Flexofast Indonesia – “TheGentlemen” (9/9), Purwana Group – “Direwolf” (7/9). Status: klaim pelaku/trackers.

Pola serangan yang menonjol di 2025

  • Double‑extortion ransomware: Pelaku mengunggah “nama korban” di leak site untuk menekan negosiasi. Nama‑nama seperti Babuk2, MedusaLocker, Sarcoma, Crypto24, TheGentlemen, Warlock muncul dalam klaim menyasar organisasi di Indonesia sepanjang 2025 (pemerintahan, energi, hukum, logistik, asuransi). Sebagian tidak terkonfirmasi oleh korban.
  • Defacement & disinformasi pada situs pemerintah masih sering terjadi, terutama karena CMS lawas/konfigurasi lemah—kasus Kejagung mencuat Februari. detikinet
  • Rekayasa sosial + pencurian kredensial (sering via peramban) tetap jadi vektor utama, termasuk sasaran UMKM yang minim kontrol keamanan. CNN Indonesia
  • Dampak rantai pasok/TTP pihak ketiga: sebagian klaim 2025 menyasar penyedia jasa TI/logistik/firmal hukum—meningkatkan risiko lateral ke klien. Ransomware Live

Implikasi sektor

  • Pemerintahan/pertahanan: Insiden Kemhan (investigasi), isu Dukcapil (klaim & hoaks), klaim terhadap pajak.go.id & PLN di leak site. Tekanan publik pasca insiden PDNS 2024 mendorong audit & penguatan backup nasional, namun governance teknis masih berproses di 2025.
  • Keuangan: Gangguan Bank DKI (audit, langkah manajerial), klaim ABDA Insurance (IMNCrew). OJK mempertegas standar keamanan untuk AKD (aset keuangan digital). Katadata
  • Energi/utilitas: PLN kerap disebut di leak site (tanpa konfirmasi). Risiko tinggi karena CI dan data pelanggan besar.
  • Telekomunikasi: Laporan klaim akses ke Telkomsel (Mei) dan notifikasi anomali (September) dibantah sebagai kebocoran—tetap relevan sebagai indikator perlunya hardening sistem operator. Narasi Tv
  • Kesehatan: Klaim “Klinik Dr. Indrajana” menegaskan trend ransomware menarget layanan kesehatan (selaras dengan temuan Health‑ISAC global).

Tata kelola & kebijakan (perkembangan 2025)

  • UU PDP (UU 27/2022). Sepanjang 2025, Komdigi menegaskan aturan turunan masih difinalisasi/harmonisasi serta pembentukan otoritas PDP tengah disiapkan. Organisasi tidak bisa menunggu—wajib mengadopsi prinsip privasi sejak desain (lawful basis, DPIA, DSR, breach notification). Bisnis.com
  • Regulasi sektor keuangan. Selain POJK 11/2022 & SEOJK 29/2022 (kerangka TIK), Pedoman Keamanan Siber AKD (Ags 2025) menandai pendalaman standar untuk pelaku aset digital. Hukum Online

SHARE THIS STORY

WhatsAppX (Twitter)TelegramBlueskyFacebookLinkedInThreadsEmailPrint