Habis WannaCry, Terbitlah Petya
Habis WannaCry terbitlah Petya
Belum genap dua bulan sejak ransomware WannaCry menghebohkan dunia maya karena cepatnya penyebaran serta banyaknya komputer yang terinfeksi, kini dunia maya dihebohkan kembali dengan ransomware lain yang dikenal dengan nama Petya.
Menurut beberapa sumber, varian baru dari ransomware Petya ini terus bermunculan, beberapa diantaranya dikenal dengan nama Petwrap, menyebar dengan cepat dengan bantuan kerentanan Windows SMBv1 yang sama dengan ransomware WannaCry. Beberapa hari sebelum munculnya Petya, para analis keamanan komputer sebenarnya masih disibukkan dengan pembahasan seputar varian baru dari WannaCry yang menyerang sejumlah perusahaan otomatif Honda Motor serta menyerang sejumlah sistem kamera lalu lintas di negara Jepang dan Australia.
Ternyata, sebuah serangan ransomware baru yang mirip dengan WannaCry diketahui telah menyebar dari wilayah Eropa ke Amerika Serikat dan Amerika Selatan. Konsentrasi awal penyebaran Petya ini banyak terdeteksi dari wilayah Rusia dan Ukrainia. Data sementara dari sejumlah analis keamanan komputer menunjukkan lebih dari 2000 komputer yang berasal dari sekitar 80 perusahaan di Rusia dan Ukraina telah terinfeksi ransomware Petya sejak hari Selasa 27 Juni 2017. Sebagaimana WannaCry, komputer yang terinfeksi oleh Petya ini akan terkunci file-filenya sehingga tidak bisa digunakan sebagaimana mestinya. Sementara untuk membuka kuncinya agar file-filenya dapat diakses kembali diperlukan tebusan sebesar US$ 300 dalam crypto currency bitcoins.
Bila WannaCry menelan korban utama adalah infrastruktur layanan kesehatan dari Britain’s National Health Service (NHS), maka Petya telah menelan korban dari sejumlah operator pelabuhan di New York, Rotterdam dan Argentina, termasuk juga sistem pemerintahan di Kiev, serta sejumlah perusahaan besar seperti Rosneft, Maersk, WPP Plc. Bahkan infeksi Petya telah memaksa operator fasilitas nuklir Chernobyl untuk menjalan prosedur manual dalam menjalankan aktivitas di lingkungan fasilitas nuklir Chernobyl.
Meningkatnya serangan ransomware sebagai modus bagi cyber attack, sebenarnya telah diprediksi oleh banyak pengamat keamanan komputer. Laporan dari perusahaan Verizon menyebutkan bahwa sepanjang tahun 2016 sendiri telah terjadi peningkatan sebesar 50% serangan cyber attack dengan modus ransomware. Pada tahun yang sama bahkan sejumlah perusahaan lainnya seperti halnya Threat Intelligence Service telah memperkirakan akan semakin massif dan canggihnya teknik-teknik yang digunakan dalam penyebaran dan cara kerja dari ransomware ini. Dalam hal ini, Ransomware yang kini dikenal sebagai Petya sebenarnya pernah direview oleh Threat Intelligence setahun lalu, sehingga menurut Threat Intelligfence ransomware yang saat ini tersebar dikenali sebenarnya adalah varian lain dari Petya yang pernah di review dan kemudian secara mudah diberi nama “NotPetya”.
Pemerintah sendiri melalui ID-SIRTII telah secara aktif memantau dan menyiapkan segala perkembangan dari ransomware Petya ini di wilayah Indonesia. ID-SIRTII juga telah menyiapkan langkah-langkah mitigasi agar bisa meminimalisir jatuhnya korban pengguna komputer pribadi maupun institusi dari serangan ransomware Petya. Secara cepat, walaupun masih dalam suasana cuti panjang liburan Iedul Fitri 1438H, team ID-SIRTII telah melakukan notifikasi kepada para mitra yang bekerjasama seperti penyelenggara layanan internet, serta masyarakat luas tentang ransomware Petya serta bagaimana cara mengantisipasinya.
Menurut analis keamanan komputer dari perusahaan Symantec, penyebaran dari Ransomware Petya ini adalah dengan memanfaatkan exploit yang dikenal dengan nama Eternal Blue dengan mengkombinasikan client side attack (CVE-2017-0199) dan network based threat (kode MS17-010) yang muncul karena adanya vulnerability pada sistem operasi Windows.
Pada prinsipnya, menurut sejumlah pakar keamanan komputer, Petya adalah keluarga ransomware yang bekerja dengan cara melalukan memodifikasi Master Boot Record (MBR) dari sistem operasi Windows yang telah terinfeksi. Ransomware ini masuk melalui file rundll32.exe dengan #1 sebagai titik masuk DLL. Ketika komputer terinfeksi maka muncul pesan berikut ini ketika proses Reboot :
DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, TOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!
Dalam hal ini jika muncul pesan seperti ini maka lakukan hal yang sebaliknya dari yang diminta dalam pesan tersebut yaitu justru segera MATIKAN PC.
Petya adalah jenis ransomware yang cara kerjanya berbeda dari ransomware lainnya. Dalam hal ini, ransomware pada umumnya akan melakukan enkripsi file satu per satu, namun tidak demikian dengan cara kerja Petya. Petya tidak melakukan proses enkripsi file pada sistem yang terinfeksi secara satu per satu. Petya akan melakukan proses reboot computer korban kemudian melakukan enkripsi tabel Master File Table (MFT) sehingga berakibat master boot record (MBR) dari komputer yang terinfeksi menjadi tidak dapat beroperasi, membatasi akses ke keseluruhan sistem dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi fisik pada disk. Selanjutnya Petya akan menggantikan file MBR dengan kode yang justru menampilkan catatan tebusan dan membiarkan komputer tidak dapat melakukan booting.
Pengguna atau perusahaan yang terinfeksi oleh Petya disarankan untuk tidak membayar uang tebusan karena hacker di belakang Petya ransomware tidak bisa dikontak lagi melalui email yang diinformasikan kepada si korban. Sejumlah alamat email yang digunakan oleh hacker dibelakang Petya telah diblok oleh penyedia jasa hosting emainya sehinga email tersebut tidak bisa digunakan lagi sehingga otomatis tidak ada lagi komunikasi via email antar korban dan si pembuat Petya. Dalam hal setidaknya dari sejumlah varian Petya ditemukan 4 identitas email yang digunakan untuk berkomunikasi antara korban dengan pembuat Petya yaitu: wowsmith123456@posteo.net, iva76y3pr@outlook.com, carmellar4hegp@outlook.com, amanda44i8sq@outlook.com. Kesemua alamat email tersebut telah di block oleh penyedia jasa emailnya.
Namun demikian, hingga 24 jam setelah penyebaran awal Petya, pemantauan terhadap akun bitcoin yang digunakan oleh di pembuat Petya untuk membayar uang tebusan di akun
‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ telah berhasil menarik dana sebesar $6775 dari pembayaran sekitar 23 korban Petya.
Pada saat yang bersamaan, sejumlah anti virus segera melakukan update database mereka agar dapat melakukan deteksi dan recovery terhadap komputer yang terinfeksi oleh Petya. Menurut perusahaan anti Virus yaitu Virus Total, berdasarkan pengamatan terhadap 61 aplikasianti virus yang tersedia saat ini, baru 16 diantaranya yang berhasil mendeteksi memberikan solusi terhadap serangan rasomware Petya.
Sebagaimana WannaCry, motif dari penyebaran ransomware ini sampai saat ini masih menyimpan tanda tanya. Mulai dari masalah teknis, ekonomis hingga berbagai versi teori konspirasi muncul dibalik motif penyebaran WannaCry. Hal yang sama terjadi pula pada ransomware Petya ini.
Selain motif umumnya dari penyebaran ransomware yang lebih bersifat ekonomis, terdapat pula motif lain yang sifatnya politis. Dalam hal ini pejabat teras dari Ukrainia menduga adanya motif tertentu yang ditujukan bagi Ukrainia sebagai upaya untuk mendestabilisasikan ekonomi dan keamanan negara Ukrainia ini. Pemerintah Ukrainia sendiri memandang serangan ransomware Petya ini termasuk kedalam serangan cyber paling besar dalam sejarah Ukrainia.
Salah satu pelajaran berharga dari kasus WannaCry dan Petya ini adalah masalah kepedulian dan kesungguhan perusahaan untuk memperbaiki sistem keamanan komputernya dari kemungkinan serangan cyber attack termasuk ransomware. Banyaknya perusahaan dan fasilitas public yang terinfeksi oleh Petya sebenarnya cukup mengherankan sejumlah analis keamanan komputer. Issue WannaCry yang sempat menghebohkan pada mingu pertama Mei 2017 ternyata tidak mampu menarik perhatian dari pengelola sistem dan pihak manajemen untuk segera memperbaiki sistem keamanan komputer mereka. Walaupun mungkin mereka tidak menjadi korban dari infeksi WannaCry atauapun Petya, kurangnya kepedulian indivisu ataupun institusi dalam menerapkan sistem keamanan komputer yang baik akan menjadi membuka peluang untuk cepat atau lambat dirinya akan menjadi korban infeksi ransomware ataupun cyber attack lainnya pada masa yang akan datang.
Kebijakan yang akan mengurangi resiko terinfeksi oleh ransomware diantaranya adalah secara regular melakukan backup semua data yang ada di PC / client / host maupun di server khususnya yang digunakan untuk kepentingan file sharing. Dari aspek keamanan, walaupun servernya menggunakan Linux, MacOS dll. Maka disarankan untuk melakukan backup filenya kedalam external drive. Kemudian lalukan secara rutin update dari Security Patch semua aplikasi yang terinstall pada komputer. Demikian juga secara periodik lakukan Full Scan PC / Laptop menggunakan Anti Virus dengan fitur Total Security dengan catatan tools anti virus tersebut sudah menggunakan update terbaru. Alangkah lebih baiknya bila selalu melakukan setting non-aktif untuk Macro service pada MS.Office dan SMB Service pada PC / client / host maupun di server.
==
Yudi Prayudi
PUSAT STUDI FORENSIKA DIGITAL (PUSFID)
Universitas Islam Indonesia