Fase Serangan Ransomware WannaCrypt Pada Fungsi SMB Windows

Empat hari setelah WannaCry membajak 200.000 komputer di 150 negara, beberapa pakar telah menetapkan bahwa ini ransomware WannaCrypt tersebut mungkin bukan seperti serangan ransomware biasa. Kenapa ? karena email phishing yang membawa lampiran berbahaya atau tautan berbahaya untuk dibuka tidak langsung menginfeksi. Infeksi ini juga muncul di Asia Tenggara, termasuk di Indonesia.

Periset menduga sejak awal wabah dimulai dengan adanya tautan email atau lampiran, para ahli mengatakan bahwa ini terlihat seperti cacing dari ‘worm’:

Tidak ada file outlook.exe di manapun, tidak ada apa pun kecuali driver Windows SMB yang diretas sebagai titik awal sertangan. Sejauh ini, kami belum menemukan apa-apa selain bukti adanya worm jaringan.

Dengan kata lain, wabah ini mirip dengan apa yang terjadi pada awal tahun 2000an. Hanya saja kali ini, alih-alih hanya kepusingan dan permintaan tebusan, yang jauh lebih merusak adalah banyak organisasi dan layanan publik menjadi terhenti.

Berikut adalah rincian tambahan dari penyelidikan para ahli keamanan IT di Dunia.

Ransomware WanaCrypt dengan Serangan Tiga Tahap

Investigasi tersebut mengungkapkan serangan tiga tahap. Dimulai dengan eksekusi kode dan malware yang merebut hak pengguna tingkat lanjut. Dari sana, muatannya dibongkar dan di eksekusi. Begitu komputer dibajak, dokumen itu di enkripsi dan pesan minta uang tebusan ditampilkan.

Analisis tampaknya mengkonfirmasi bahwa serangan hari Jumat kemarin (12 May 2017) diluncurkan dengan menggunakan kode NSA yang ‘bocor’ oleh sekelompok hacker yang dikenal sebagai Shadow Brokers. Ini menggunakan varian dari ‘EternalBlue Exploit‘ Broker (CC-1353) dan menggunakan enkripsi kuat pada file seperti dokumen, gambar, dan video. Ini juga berjalan setelah server, mencoba mengenkripsi database SQL Server dan file data Microsoft Exchange.

Ada tiga faktor kunci yang menyebabkan serangan ini menyebar dengan cepat:

  1. Dimasukkannya kode yang menyebabkan ancaman menyebar di seluruh jaringan sebagai worm dengan cepat tanpa memerlukan tindakan pengguna lebih lanjut setelah infeksi awal terjadi.
  2. Ini mengeksploitasi kerentanan yang belum di observasi oleh banyak organisasi. Patching Sistem operasi merupakan lini pertama strategi keamanan, namun banyak yang masih lalai dalam melakukan update secara reguler.
  3. Organisasi masih menjalankan Windows XP. Microsoft telah menghentikan dukungan untuk Windows XP dan tidak mengeluarkan patch untuk sistem ini, namun kemudian mengeluarkan patch untuk Windows XP karena serangan ini. Microsoft memang mendukung versi lama Windows, tapi dengan biaya tambahan.

Seperti yang banyak di tulis pada blog para ahli, serangan ransomware wannaCrypt tersebut memanfaatkan kerentanan Microsoft Windows yang sebelumnya pada bulan Maret telah keluar patch atas kerentanan tersebut. Kerentanan Microsoft Windows tesebut berada pada layanan Windows Server Message Block (SMB), yang digunakan komputer Windows untuk berbagi file dan printer di jaringan lokal. Microsoft membahas masalah ini di buletin MS17-010-nya.

Seperti yang kami kabarkan sebelumnya pada artikel sebelumnya saat pelantikan Donald Trump, dimana serangan ransomware berhasil melumpuhkan puluhan ribu CCTV. Di Indonesia, beberapa rumah sakit terkena serangan ransomware, dan anehnya layanan yang tidak di targetkan ransomware juga terkena serangan seperti BKPM di Jawa Timur dan beberapa pelayana e-KTP, ini terlalu aneh.

Worm ini menghasilkan alamat IP secara acak. Setelah alamat IP didefinisikan, worm tersebut mengirimkan paket SMB jahat ke host jarak jauh, dan menyebar sendiri. Dari situlah, file-file pada komputer yang dibajak dienkripsi dan catatan tebusan muncul di layar korban, seperti terlihat pada layar komputer pelayanan beberapa rumah sakit Indonesia.

Darimana Infeksi Ransomware WannaCrypt Dimulai?

Penyelidikan menunjukkan bahwa infeksi pertama muncul di India, Hong Kong dan Filipina. Seperti yang di jelaskan para peneliti keamanan top dunia di situs mereka:

Bukti pertama kami untuk Ransomware WannaCrypt ditemukan pada pukul 07.44 waktu UTC, ketika seorang klien dari sebuah ISP di Asia Tenggara terkena domain kill-switch. Pada jam-jam berikutnya kami mengidentifikasi ada ribuan klien yang terinfeksi Ransomware WannaCry, dari berbagai negara dan ISP, mencoba berkomunikasi dengan domain tersebut.

Perolehan Uang Tebusan Ransomware WannaCrypt

Selama akhir pekan, akun yang disiapkan untuk mengumpulkan uang tebusan telah menerima jumlah yang lebih kecil dari perkiraan untuk serangan sebesar ini. Tapi pada Senin pagi, saldo hacker meningkat, menunjukkan bahwa lebih banyak orang menanggapi pesan tebusan tersebut pada hari Senin. Pada hari Sabtu, tiga dompet terkait ransomware telah menerima 92 pembayaran senilai USD $ 26.407,85. Pada hari Minggu, jumlah antara tiga dompet itu mencapai USD 30.706,61. Pada Senin pagi, 181 pembayaran telah dilakukan sebesar 29.46564365 BTC (USD 50.504,23).

Ketiga dompet tersebut membawa 253 pembayaran sebesar 41.78807332 BTC (USD 71.647.06) pada Selasa malam.

Cara Mengatasi Ransomware WannaCrypt

Dengan kembalinya ‘wabah worm jadul‘ seperti ini, perlu dilakukan review terhadap langkah-langkah yang dapat dilakukan pengguna untuk menghindari infeksi. Sayangnya, beberapa langkah tersebut terbukti tidak populer. Admin dapat memblokir layanan atau port pada tingkat firewall.

Salah satu cara paling ampuh yang disarankan oleh para praktisi di perusahaan besar adalah dengan menggunakan layanan cloud backup yang sudah mempunyai fasilitas analisa terhadap pola perilaku data. Teknologi backup seperti itu merupakan cara terbaik yang banyak digunakan oleh perusahaan besar di mancanegara untuk menghadapi situasi yang dapat menyebabkan gangguan kelancaran operasional bisnis, termasuk dalam kasus serangan cyber jenis apapun.

Saran terbaik tetap sama seperti saat wabah dimulai:

  • Untuk mencegah malware yang memanfaatkan kerentanan Microsoft:
  • Tetap di atas semua rilis patch dan menerapkannya dengan cepat.
  • Jika memungkinkan, ganti sistem Windows lama dengan versi terbaru.

Cara Memperkuat Keamanan IT Dalam Menghadapi Serangan Cyber

Back up secara teratur dan simpanlah salinan cadangan baru-baru ini. Banyak hal selain serangan cyber Ransomwre yang dapat membuat file anda tiba-tiba lenyap, seperti kebakaran, banjir, pencurian, laptop terjatuh atau bahkan penghapusan yang tidak disengaja. Berikan enkripsi terhadap file dan data cadangan, sehingga anda tidak perlu khawatir perangkat cadangan jatuh ke tangan yang salah.

Berhati-hatilah dengan lampiran di e-mail. Penjahat cyber akan mendorong Anda untuk membuka dokumen yang sebetulnya akan mengaktifkan penyebaran ransomware wannaCrypt melalui fungsi makro.

Untuk perusahaan dan organisasi pemerintahan, ada baiknya mengunakan jasa dukungan teknologi informasi untuk selalu merawat software dan hardware anda, sembari meningkatkan keamanan infrastruktur IT anda.

Views All Time
Views All Time
254
Views Today
Views Today
2
Rachmad Igen

Author: Rachmad Igen

Blogger, SEO, SEM, Digital Marketing

Share This Post On

Trackbacks/Pingbacks

  1. Lima Langkah Untuk Menangkal Serangan Cyber Secara Gratis - […] Menurut perusahaan keamanan yang berbasis di Manchester, Secarma, ExplodingCan mengeksploitasi kerentanan yang diketahui dapat memicu buffer overflow di server…
  2. Awasi Bahaya Serangan Proxy Melalui Pengkhianat di Indonesia - […] fake news, serangan proxy juga dilancarkan melalui infrastruktur teknologi suatu negara. Seperti virus ransomware dan not petya yang dapat…

Submit a Comment

Pin It on Pinterest

Share This