Perkembangan WannaCry
Tidak sampai 48 Jam sejak ransomware WannaCry terdeteksi pertamakali pada hari Jumat 12 Mei 2017 jam 9am UTC, para pelaku keamanan komputer sudah bisa bernafas lega, setidaknya proses penyebaran ransomware ini bisa dihentikan sementara. Kabar menggembirakan itu muncul ketika tersiar berita bahwa seorang pekerja IT yang masih mudah berhasil mengurai kode program dari ransomware WannaCry ini dan menemukan bagian program yang menjadi langkah utama dalam proses infeksi. Bagian program tersebut dikenal dengan istilah killswitch, yaitu sebuah kondisi program dimana apabila kondisi tertentu dipenuhi maka lakukan proses infeksi dan penyebaran, sementara bila kondisi tidak dipenuhi maka proses penyebaran dihentikan.
Menurut sumber sejumlah media, WannaCry telah berhasil menginfeksi lebih dari 230.000 komputer di setidaknya 100 negara. Hasil pelacakan dari sejumlah analis keamanan komputer mendapatkan data awal bahwa terdapat tiga alamat BitCoin berbeda sebagai alamat untuk membayar uang tebusan. Hingga Ahad 14 Mei telah tercatat 134 pembayaran yang telah dilakukan dengan nominal sekitar $US 40.000.
Hari Senin 15 Mei, saat semua aktivitas berjalan kembali setelah melewati masa libur akhir pecan menjadi satu moment penting dari sejauh mana dampak luasnya dari WannaCry ini. Karena itu berbagai instansi secara aktif menyiapkan berbagai hal untuk antisipasinya, bagi k secara teknis maupun secara edukasi. Berbagai himbauan, poster mulai tersebar melalui berbagai berbagai channel komunikasi untuk memberikan panduan kepada setiap orang agar jangan menjadi korban dari WannaCry ini. Hari senin pagi hingga siang terjadi sebuah keadaan yang disebut dengan “Internet Blackout”, dimana sebagian besar para pegawai dan instansi berusaha untuk mematikan koneksi internetnya sebagai upaya untuk mengurangi potensi terkena serangan WannaCry. Kondisi ini mau tidak mau menyebabkan sedikit terganggunya beberapa layanan masyarakat terutama yang prosesnya berbasiskan pada koneksi jaringan computer.
Terkait dengan korban yang terkena infeksi WannaCry, hingga Senin sore 15 Mei belum ada laporan yang cukup mengkhawatirkan dari korban WannaCry di Indonesia selain dua rumah sakit yang sudah dilaporkan sebelumnya (Dharmais dan Harapan Kita). Walaupun demikian terdapat juga beberapa laporan korban dari WannaCry namun sifatnya personal. Dari satu aspek, tidak banyaknya laporan korban tersebut bisa jadi karena memang pengguna Winsdows XP di Indonesia sudah mulai berkurang terutama pada infrastruktur jaringan perusahaan dan instansi.
Selanjutnya, pertanyaan utama mungkin ada pada pikiran setiap orang sekarang adalah apakah WannaCry benar-benar sudah berhasil dihentikan dan tidak akan muncul kembali? Teknik KillSwitch yang dilakukan untuk menghentikan WannaCry sebenarya sifatnya adalah sementara. Cara kerja dari KillSwitch ini adalah berusaha untuk melakukan koneksi ke domain yang seharusnya tidak ada. Namun ternyata kemudian domain yang dimaksud sudah didaftarkan oleh seorang analis malware (berubah menjadi active domain). Selanjutnya karena domain tersebut benar-benar ada, maka malware WannaCry ini akan berhenti menginfeksi.
Karena cukup fenomenal, maka semua hal yang terkait dengan WannaCry akhirnya terbuka ke public, termasuk sample malearenya. Bagi analis malware, sample diperlukan untuk melakukan analisis reverse engineering bagaimana cara kerja malware ini sehingga dapat diketahui karakteristik infeksi dan penyebarannya. Sayangnya pada sisi yang lain, sample yang sama juga dianalisis oleh pihak-pihak tertentu untuk memperbaiki celah kelemahan dari WannaCry ini. Dalam hal ini tidak lama setelah muncul berita tentang keberhasilan seorang analisis malware dari Malware Tech menghentikan penyebaran WannaCry ini, muncul varian baru dari WannaCry. Varian baru ini konon telah mampu mengatasi kelemahan cara kerja WannaCry yang telah beredar sebelumnya. Berdasarkankan informasi dari sejumlah analis malware dari Kaspesrky, varian baru dari WannaCry tidak lagi melakukan domain kill-switch yang sudah terdeteksi pada versi WannaCry sebelumnya. Varian baru ini konon menggunakan cara kerja dengan logika terbalik, yaitu bila dapat melakukan koneksi langsung ke domain tertentu maka WannaCry akan berhenti sementara bila tidak dapat melakukan koneksi langsung maka Wannacry tetap akan bekerja. Dalam hal ini sudah menjadi standard kebijakan keamanan computer pada semua institusi bahwa untuk koneksi ke sebuah domain harus melalui jalur Proxy, sehingga ketidakmampuan Wannacry untuk koneksi tanpa Proxy justru akan menyebabkan malware tersebut tetap aktif dalam system computer.
Fakta tersebut menunjukkan bahwa para pelaku cybercrime terus berusaha untuk melakukan berbagai upaya menjalankan aksi-aksi jahatnya. Laporan analis keamanan Hongkong menyebutkan bahwa dari data analisis yang dilakukan pada sejumlah korban yang terkena infeksi Wannacry, terdapat setidaknya 25 varian baru dari WannaCry.
Terdapat banyak pelajaran yang dapat diambil dari kasus WannaCry ini, pertama adalah munculnya security awareness pada setiap instansi dan individu. Security awareness sangatlah penting dan harus ditingkatkan agar dapat meminimalkan terjadinya korban cybercrime. Kedua adalah adalah warning kepada pengelola sistem dan penggiat keamanan computer bahwa issue ransomware akan menjadi tantangan utama cybercrime dan cyberattack pada waktu yang akan datang. Ketiga munculnya kepedulian terhadap security update dari sistem, dari satu aspek kepedulian ini akan berdampak pada dorongan dari setiap pengguna aplikasi untuk menggunalan versi berbayar dari sistem yang digunakan agar tetap mendapat dukungan security update dari vendornya. Bila tidak, maka alternative penggunaan opensource adalah menjadi solusi utamanya.