Kombinasi Serangan Petya dan WannaCry Membuat Dunia Kembali Siaga
Kamis, 29 Juni 2017 - 17:04 WIB
Kombinasi Serangan Petya dan WannaCry Membuat Dunia Kembali Siaga
A
A
A
JAKARTA - Sebagian besar wajah dunia masih diliputi semarak perayaan Lebaran. Namun dunia siber yang tidak mengenal libur, diam-diam pengembang malware telah melancarkan serangan secepat kilat membuat kacau seluruh dunia yang mengakibatkan banyak korban berjatuhan.
Dalang di balik kegaduhan ini adalah ransomware Petya jenis baru yang dideteksi sebagai Win32/Diskcoder.C. Malware ini jika berhasil menginfeksi MBR, dia akan mengenkripsi keseluruhan drive. Kondisi ini semakin diperparah karena serangan dikombinasikan melalui celah keamanan EternalBlue dan EternalRomance mengeksploitasi SMB yang sebelumnya digunakan WannaCry untuk masuk ke dalam jaringan, kemudian menyebar melalui PSExec untuk menyebar di dalam jaringan.
Kombinasi berbahaya ini menjadi alasan mengapa wabah ini menyebar secara global dan cepat. Menggunakan dua eksploit kit ini ransomware menyebar melalui LAN ke komputer lain.
Tidak seperti WannaCry, Petya hanya akan menyebar melalui LAN, dan tidak melalui internet. Hanya dibutuhkan satu komputer yang belum di patch untuk masuk ke dalam jaringan, ransomware bisa langsung mendapatkan hak administrator dan menyebar ke komputer lain dalam satu jam. Akibatnya banyak bank, jaringan listrik dan Perusahaan pos terinfeksi. bahkan kantor-kantor pemerintah yang memiliki keamanan berlapis berhasil ditembus.
Berbagai laporan insiden dari berbagai penjuru dunia masih terus berdatangan, banyak perusahaan kebingungan mengetahui ransomware mampu mengunci ratusan komputer dalam jaringan yang sama hanya dalam waktu satu jam. Jika pada serangan WannaCry yang menggunakan eksploit kit EternalBlue dapat dihentikan melalui mekanisme KillSwitch, yang kemudian mampu menghentikan sebagian besar infeksi. Versi terbaru Petya sudah mengantisipasi dengan tidak menyediakan kemungkinan adanya KillSwitch.
Menurut berita The Independent, Petya jenis baru ini juga menginfeksi komputer di perusahaan WPP, sebuah perusahaan periklanan di Inggris serta Maersk, perusahaan pelayaran Denmark.
Informasi terakhir dari lab ESET disebutkan sebaran dimulai melalui server yang dimiliki sebuah perusahaan software akuntansi M.E.Doc yang telah disusupi hacker dan dimanfaatkan untuk melakukan penyebaran ransomware secara massive, sehingga M.E.Doc menuliskan peringatan dan permohonan maaf pada web nya http://www.me-doc.com.ua/vnimaniyu-polzovateley.
“Ransomware Petya varian ini menduplikasi metode serangan WannaCry meskipun ada perbedaan mendasar pada akibatnya. Jika WannaCry hanya mengenkrip file tertentu, maka varian Petya ini mampu mengenkrip seluruh hard disk," ujar Technical Consultant PT Prosperita - ESET Indonesia, Yudhi Kukuh, Jakarta, Kamis (29/6/2017).
"Dengan metode ini, ada kemungkinan akan mencapai Indonesia dengan cepat, seperti halnya WannaCry. Terlebih saat ini sedang libur panjang di mana kewaspadaan biasanya berkurang dan udpdate sistem/applikasi terhenti," jelasnya.
Yudhi menambahkan kehadiran ransomware ini sudah dideteksi ESET melalui update terakhir bernomor 15653. Namun, pengguna tetap harus selalu mawas diri dan terus meng-update seluruh software atau aplikasi yang digunakan dalam komputer. Jika sudah sempat terkena dengan gejala awal adanya peringatan yang muncul melalui layar monior, segera matikan komputer melalui tombol power. Melalui cara ini ada kemungkinan file diselamatkan karena ransomware ini belum sempat mengenkripsi seluruh hard disk”
Saat ini, email pengembang malware yang digunakan untuk menerima Bitcoin wallet ID dan personal installation key sudah dinonaktifkan oleh provider email, sehingga usaha pembayaran tebusan tidak dimungkinkan.
Dalang di balik kegaduhan ini adalah ransomware Petya jenis baru yang dideteksi sebagai Win32/Diskcoder.C. Malware ini jika berhasil menginfeksi MBR, dia akan mengenkripsi keseluruhan drive. Kondisi ini semakin diperparah karena serangan dikombinasikan melalui celah keamanan EternalBlue dan EternalRomance mengeksploitasi SMB yang sebelumnya digunakan WannaCry untuk masuk ke dalam jaringan, kemudian menyebar melalui PSExec untuk menyebar di dalam jaringan.
Kombinasi berbahaya ini menjadi alasan mengapa wabah ini menyebar secara global dan cepat. Menggunakan dua eksploit kit ini ransomware menyebar melalui LAN ke komputer lain.
Tidak seperti WannaCry, Petya hanya akan menyebar melalui LAN, dan tidak melalui internet. Hanya dibutuhkan satu komputer yang belum di patch untuk masuk ke dalam jaringan, ransomware bisa langsung mendapatkan hak administrator dan menyebar ke komputer lain dalam satu jam. Akibatnya banyak bank, jaringan listrik dan Perusahaan pos terinfeksi. bahkan kantor-kantor pemerintah yang memiliki keamanan berlapis berhasil ditembus.
Berbagai laporan insiden dari berbagai penjuru dunia masih terus berdatangan, banyak perusahaan kebingungan mengetahui ransomware mampu mengunci ratusan komputer dalam jaringan yang sama hanya dalam waktu satu jam. Jika pada serangan WannaCry yang menggunakan eksploit kit EternalBlue dapat dihentikan melalui mekanisme KillSwitch, yang kemudian mampu menghentikan sebagian besar infeksi. Versi terbaru Petya sudah mengantisipasi dengan tidak menyediakan kemungkinan adanya KillSwitch.
Menurut berita The Independent, Petya jenis baru ini juga menginfeksi komputer di perusahaan WPP, sebuah perusahaan periklanan di Inggris serta Maersk, perusahaan pelayaran Denmark.
Informasi terakhir dari lab ESET disebutkan sebaran dimulai melalui server yang dimiliki sebuah perusahaan software akuntansi M.E.Doc yang telah disusupi hacker dan dimanfaatkan untuk melakukan penyebaran ransomware secara massive, sehingga M.E.Doc menuliskan peringatan dan permohonan maaf pada web nya http://www.me-doc.com.ua/vnimaniyu-polzovateley.
“Ransomware Petya varian ini menduplikasi metode serangan WannaCry meskipun ada perbedaan mendasar pada akibatnya. Jika WannaCry hanya mengenkrip file tertentu, maka varian Petya ini mampu mengenkrip seluruh hard disk," ujar Technical Consultant PT Prosperita - ESET Indonesia, Yudhi Kukuh, Jakarta, Kamis (29/6/2017).
"Dengan metode ini, ada kemungkinan akan mencapai Indonesia dengan cepat, seperti halnya WannaCry. Terlebih saat ini sedang libur panjang di mana kewaspadaan biasanya berkurang dan udpdate sistem/applikasi terhenti," jelasnya.
Yudhi menambahkan kehadiran ransomware ini sudah dideteksi ESET melalui update terakhir bernomor 15653. Namun, pengguna tetap harus selalu mawas diri dan terus meng-update seluruh software atau aplikasi yang digunakan dalam komputer. Jika sudah sempat terkena dengan gejala awal adanya peringatan yang muncul melalui layar monior, segera matikan komputer melalui tombol power. Melalui cara ini ada kemungkinan file diselamatkan karena ransomware ini belum sempat mengenkripsi seluruh hard disk”
Saat ini, email pengembang malware yang digunakan untuk menerima Bitcoin wallet ID dan personal installation key sudah dinonaktifkan oleh provider email, sehingga usaha pembayaran tebusan tidak dimungkinkan.
(dmd)
