Tentang WannaCry Ransomware
Terkait serangan cyber WannaCry Ransomware yang menimpa sekitar 150 negara, pertama-tama Blog I-I menyampaikan apresiasi yang tinggi dan mendukung penjelasan Kepala BIN tentang serangan tersebut. Baik tentang perlunya peningkatan kemampuan sistem pengamanan informasi, tentang melemahkan negara, maupun berbagai analisa terkait kasus tersebut lainnya (baca: Kepala BIN soal Serangan Ransomware WannaCry, Imbauan BIN soal Serangan Ransomware, dan berbagai pemberitaan terkait lainnya).
Berbeda dengan pandangan Blog I-I tentang penjelasan BIN tentang pembubaran HTI yang menurut Blog I-I kurang pas karena terkait dengan analisa yang sifatnya rahasia, penjelasan BIN tentang serangan cyber Ransomware sangat penting untuk memberikan pencerahan kepada masyarakat dan menciptakan rasa aman karena BIN cepat tanggap dalam merespon serangan cyber yang dampaknya sangat merugikan bukan hanya negara dan organisasi/badan/lembaga yang diserang seperti rumah sakit, melainkan juga individu-individu yang mungkin tidak sadar bahwa ransomware adalah malaware yang mengintai dimana-mana termasuk PC kita di rumah. Ketika jaringan cyber Blog I-I mencoba memperoleh program ransomware dan meneliti pemograman serangan malaware yang menargetkan folder dan file, sejumlah serangan ransomware langsung masuk ke PC berbasis microsoft windows milik jaringan Blog I-I. Karena komputer tersebut memang telah siap untuk dikorbankan diserang ransomware, maka tidak ada hal berarti yang terjadi. Sangat menarik bahwa serangan malaware wannacry ransomware tersebut umumnya berpola mencegah mengakses windows, mengenkripsi file-file di komputer sehingga tidak dapat digunakan, dan menghentikan aplikasi seperti web browser. Sesuai dengan namanya, komputer anda disandera dan mereka meminta uang (ransom) untuk dapat membuka akses ke komputer tersebut. Disamping itu juga ada permintaan pengisian survey. Hal yang paling menyebalkan adalah tidak ada jaminan bahwa ransomware akan memberikan kembali akses ke komputer dan file yang disandera tersebut.
Model serangan malaware dengan ransomware tersebut agak mirip dengan malaware yang memaksakan anda untuk membeli program anti-virus dengan menghentikan web browser dan mengabarkan bahwa komputer anda mengalami serangan virus. Namun malaware tersebut tidak agresif kepada folder, file dan aplikasi lainya. Kemudian juga agak mirip dengan malaware yang merubah seluruh nama file di komputer kita dengan ekstension yang berbeda sehingga tidak dikenali atau tidak dapat dibuka dengan program yang biasa digunakan untuk membukanya. Program malaware leluhur ransomware telah ada sejak tahun 1989 yang kita kenal dengan nama PC Cyborg Trojan atau AIDS Trojan dalam bentuk floppy disk yang mengganti file autoexec.bat yang kemudian menghitung jumlah booting yang dilakukan komputer dan ketika menyentuh angka ke 90 kali boot, maka kemudian komputer tersebut akan diserang dengan menyembunyikan direktori (sekarang lebih dikenal folder) dan mengeknripsi semua file di drive C. Untuk dapat membukanya maka pihak yang diserang diminta untuk memperpanjang license dan mengontak PC Cyborg Corporation dengan membayar 189 dollar. Kira-kira metodenya ransomware masih sama dengan leluhurnya tersebut dan terus berkembang dengan berbagai pengembang dan penelitian di tahun 2000-an sbb:
Sumber: CERT-RO
Ransomware WannaCry jauh lebih agresif dan intrusif kepada komputer dan mampu menciptakan kepanikan kepada yang diserang. Beberapa sahabat Blog I-I menceritakan bagaimana file-file pribadinya tidak lagi dapat diakses dan dimintai uang ratusan dollar (antara 300-500 dollar) untuk membukanya, untungnya karena seluruh jaringan Blog I-I memiliki kebiasaan rutin untuk melakukan back-up data, maka serangan ransomware itu sama sekali tidak berpengaruh. Dengan mudah dilakukan reset komputer, reinstall windows, dan file-file nya tetap aman karena ada back-up dengan harddisk portable atau di komputer stand alone. Namun tentunya dapat dibayangkan betapa besar pengaruhnya kepada perusahaan, rumah sakit, dan institusi pelayanan masyarakat lainnya, gangguannya sangat merugikan masyarakat.
Berikut ini sedikit detil tentang karakter ransomware yang berbeda dengan malaware lainnya untuk diketahui sahabat Blog I-I:
- Enkripsi tidak dapat dipecahkan artinya tidak dapat didekripsi sendiri dengan program tools dekripsi yang dijual umum maupun khusus oleh perusahaan di bidang cyber security. Program enkripsi file atau komunikasi biasanya memiliki kunci untuk membukanya dan file hasil program jenis ini biasanya dapat "dipaksa" dibuka dengan program dekripsi.
- Ransomware mampu melakukan enkripsi seemua jenis file dari dokumen sampai pictures, videos, audio files dan berbagai file lainnya di komputer anda
- Mampu mengacak-acak nama file yang akan membingungkan pemilik komputer.
- Membingungkan dan memaksa pengguna/pemilik komputer untuk membayar tebusan (ransom)
- Menambahkan ekstension yang berbeda di file anda untuk menandai terjadinya serangan ransomware dan yang sudah banyak dipublikasikan adalah menampilkan pesan satu layar penuh bahwa komputer anda telah dienkripsi dan anda harus membayar tebusan dalam jumlah tertentu untuk dapat membukanya kembali,
- Pembayaran dilakukan melalui Bitcoins karena crypto-currency ini tidak dapat dilacak oleh pakar cyber secuirty dan aparat hukum.
- Biasanya pembayaran tebusan dibatasi oleh waktu pembayaran, dan untuk meningkatkan kepanikan permintaan tebusan akan meningkat setelah batas waktu tersebut, termasuk kemungkinan data/file menjadi hilang atau rusak selamanya.
- Ransomware menggunakan sejumlah teknik pengalihan yang membuat program anti-virus gagal mendeteksi atau mencegahnya.
- Komputer yang terinfeksi ransomware dapat menjadi jaring botnets, sehingga para pelaku kriminal cyber dapat mengembangkan infrastruktur untuk serangan berikutnya di masa mendatang dan dapat dengan cepat menyebar ke komputer PC lainnya dalam jaringan lokal (local network).
- Ransomware mampu melakukan ekstraksi data-data dari komputer yang terinfeksi termasuk usernames, passwords, email addresses, dll dan mengirimkannya ke server pengendali yang dikontrol oleh pelaku kriminal cyber.
- Ransomware juga melakukan target secara geografis, artinya tuntutan tebusan secara otomatis diterjemahkan dalam bahasa korban untuk meningkatkan potensi pembayaran tebusan.
- Sejauh ini, kerawanan yang berhasil dieksploitasi adalah komputer berbasis windows, sementara komputer berbasis apple dan unix/linux belum terdengar adanya keberhasilan serangan ransomware.
- Hentikan kebiasaan mengunjungi website berbahaya seperti pornografi, judi, game online, film dan musik gratis, dan website yang menawarkan sesuatu yang too good to be true.
- Hindari website/server atau sistem yang telah diserang ransomware karena dari sini juga dapat menyebar. Misalnya kantor anda telah diserang, maka PC pribadi anda sementara jangan digunakan untuk mengakses website kantor anda termasuk untuk membuka email kantor anda karena membukakan pintu untuk masuk ke komputer pribadi anda.
- Tingkatkan kehati-hatian dalam membuka email, khususnya attachment. Langsung delete semua email yang terdeteksi spam atau yang tidak terdeteksi sebagai spam namun isinya mengandung link ke website yang mencurigakan atau tidak anda kenal.
- Tingkatkan kehati-hatian terhadap removable drives seperti USB flash drives, portable harddisk, dan berbagai bentuk media drives lainnya. Karena bila telah terinfeksi akan segera menular ke komputer anda. Biasakan untuk memastikan bahwa removable drives yang anda gunakan bersih dari virus dan malaware.
- Hati-hati dalam menginstal program baru apalagi bila pengembangnya tidak jelas, misalnya game yang anda download dari internet. Hal ini dikenal dengan teknik bundled, dimana malaware termasuk ransomware menjadi penumpang gelap.
- Jangan lupa bahwa anda secara rutin melakukan back-up seluruh file anda, sehingga bila suatu hari lengah dan mengalami serangan virus atau malaware, anda tidak perlu panik karena punya file back-up untuk mengembalikan fungsi kerja komputer anda seperti sebelum serangan cyber tersebut.
Salam Intelijen,
Dharma Bhakti
Komentar
Posting Komentar