Baru aja napas bentar dari drama kebocoran data awal tahun, eh alert di dashboard intelijen siber nyala lagi. Kali ini bukan e-commerce atau pinjol, tapi sektor yang jauh lebih krusial: energi.
FalconFeeds, salah satu platform threat intelligence yang biasa saya pantau buat feed harian, baru saja nge-drop kabar kurang sedap. PT Energi Mega Persada Tbk (EMP), pemain besar di sektor hulu migas Indonesia, dikabarkan masuk dalam daftar korban di situs leak milik LockBit 5.0.
Buat yang belum ngeh, ini bukan sekadar “kena hack” biasa. Kalau nama perusahaan udah mejeng di dark web leak site mereka, artinya proses negosiasi awal kemungkinan besar udah gagal, atau threat actor-nya lagi mau pamer “tangkapan besar” buat nakut-nakutin korban lain.
Status Insiden: Critical
Laporan dari FalconFeeds.io pada 3 Maret 2026 mengonfirmasi bahwa PT EMP telah terdaftar sebagai korban LockBit 5.0. Kelompok ransomware ini mengancam akan membocorkan dokumen internal, laporan keuangan, dan data karyawan jika tebusan tidak dibayar.
Target Bernilai Tinggi: Kenapa EMP?
Kita nggak bisa naif. PT EMP itu mengoperasikan cadangan minyak dan gas yang vital buat suplai energi nasional. Dalam skenario serangan siber ke infrastruktur kritikal (CNI), motifnya sering kali bergeser dari sekadar duit tebusan ke potensi gangguan operasional yang masif.
Para Initial Access Brokers (IAB) — alias makelar akses masuk — biasanya matok harga premium buat akses ke jaringan perusahaan energi. Begitu pintu terbuka, afiliasi LockBit tinggal masuk, eksfiltrasi data, lalu deploy enkripsi.
Nah, masalahnya di sini adalah varian yang dipakai. Bukan LockBit 3.0 yang kodenya udah bocor ke mana-mana, tapi LockBit 5.0.
Bedah Anatomi LockBit 5.0
Varian 5.0 ini dirilis September 2025 kemarin, pas ulang tahun keenam geng ransomware ini. Setelah sempat “digebuk” sama operasi penegak hukum internasional (Operation Cronos) di 2024, banyak yang ngira LockBit bakal tamat. Ternyata, mereka malah rebranding dan ngerombak kode mereka jadi lebih stealthy.
Saya sempat ngulik sampel dari varian 5.0 ini beberapa bulan lalu. Secara teknis, ini makhluk yang jauh lebih licin dibanding pendahulunya.
Analisis Teknis Payload LockBit 5.0
Algoritma Enkripsi | XChaCha20 + Curve25519 |
Target OS | Windows, Linux, VMware ESXi |
Metode Evasion | ETW Patching & DLL Unhooking |
Fitur Anti-Forensik | Wiper (Free Disk Space) |
Yang bikin pusing blue team (tim pertahanan) adalah kemampuan anti-analisis mereka. LockBit 5.0 ini punya fitur buat melakukan patching pada Event Tracing for Windows (ETW). Bahasa gampangnya: mereka “mencolok mata” sistem monitoring Windows supaya aktivitas jahat mereka nggak kerekam di log. Jadi pas tim IT sadar, biasanya layar udah merah semua minta tebusan.
Selain itu, mereka sekarang punya fitur wiper bawaan yang menghapus free disk space. Tujuannya jahat banget: mencegah tim forensik melakukan recovery data sisa-sisa yang mungkin belum tertimpa sempurna.
Evolusi yang Menolak Mati
Kalau kita lihat ke belakang, LockBit ini kayak kecoa di dunia siber. Susah banget matinya. Perjalanan mereka dari versi awal sampai 5.0 ini nunjukin kalau model bisnis RaaS (Ransomware-as-a-Service) mereka sangat adaptif.
Timeline Kebangkitan LockBit
Operasi Cronos
Infrastruktur LockBit disita penegak hukum global
Rilis LockBit 5.0
Varian baru dengan enkripsi XChaCha20 dan target ESXi
Leak Site Mirror
Peluncuran situs leak baru bertema Natal untuk persistensi
Serangan PT EMP
Target profil tinggi di sektor energi Indonesia
Mereka bahkan nurunin biaya masuk buat afiliasi baru jadi cuma $500. Ini strategi marketing putus asa tapi efektif buat nambah pasukan “kroco” yang nyari target-target empuk.
Double Extortion: Mimpi Buruk Admin
Pola serangan ke PT EMP ini hampir pasti pakai skema double extortion.
- Curi Data: Sebelum mengenkripsi, mereka nyedot data sensitif. Dokumen kontrak, data geologis, info gaji karyawan, semua disalin ke server mereka.
- Kunci Sistem: Baru setelah data aman di tangan mereka, payload enkripsi dijalankan.
- Ancam Sebar: Kalau perusahaan punya backup yang bagus dan nolak bayar buat decryption key, mereka bakal ngancam sebar data yang dicuri tadi.
Buat perusahaan publik kayak EMP, opsi kedua (sebar data) ini yang seringkali lebih ngeri dampaknya ke reputasi dan harga saham.
Tren Ransomware 2026
Data dari Palo Alto Unit 42 memproyeksikan kenaikan insiden ransomware sebesar 58% di tahun 2026 ini. LockBit 5.0 sendiri duduk di posisi kedua sebagai grup paling aktif setelah Qilin. Ini nunjukin kalau mereka masih punya taring tajam, dan Indonesia—dengan adopsi digital yang kadang nggak dibarengi hardening keamanan yang cukup—adalah kolam ikan yang segar buat mereka.
Apa yang Harus Dilakukan?
Buat kawan-kawan yang pegang kendali infrastruktur, kejadian di PT EMP ini harusnya jadi tamparan keras. LockBit 5.0 secara spesifik menargetkan VMware ESXi. Virtualisasi seringkali jadi blind spot karena admin merasa itu layer yang “aman”. Padahal kalau hypervisor-nya kena enkripsi, semua Virtual Machine (VM) di dalamnya—mau itu server database, aplikasi, atau domain controller—bakal tamat riwayatnya.
Jangan cuma andalin antivirus tradisional yang basisnya signature. LockBit 5.0 mainnya udah pakai randomized extension (16 karakter acak) dan teknik process hollowing yang bisa nipu deteksi standar.
Kejadian ini ngasih sinyal jelas: Threat actor nggak peduli seberapa strategis perusahaan kalian. Kalau ada celah, mereka masuk. Dan kalau udah masuk, pilihannya cuma dua: bayar dengan rasa sakit finansial, atau bangun ulang dengan rasa sakit operasional. Mari kita jadikan insiden ini sebagai pengingat untuk terus memperkuat benteng pertahanan digital kita, karena di dunia siber, kewaspadaan adalah mata uang yang paling berharga.