Jangan Bayar Tebusan Akibat Serangan Petya

BELUM genap dua bulan setelah munculnya serangan ransomware WannaCry berlalu, saat ini muncul ransomware varian baru yang disebut Petya.

Pakar Forensika Digital Universitas Islam Indonesia Yudi Prayudi mengungkapkan, varian baru dari ransomware Petya ini terus bermunculan. Beberapa di antaranya dikenal dengan nama Petwrap, menyebar cepat dengan bantuan kerentanan Windows SMBv1 yang sama dengan ransomware WannaCry.

"Beberapa hari sebelum munculnya Petya, para analis keamanan komputer sebenarnya masih disibukkan dengan pembahasan seputar varian baru dari WannaCry yang menyerang sejumlah perusahaan otomatif Honda Motor, serta menyerang sejumlah sistem kamera lalu lintas di Jepang dan Australia," katanya di Yogyakarta, Kamis (29/6).

Ternyata, jelas Direktur Pusat Studi Forensika Digital UII ini, sebuah serangan ransomware baru yang mirip dengan WannaCry diketahui telah menyebar dari Eropa ke Amerika Serikat dan Amerika Selatan.

Konsentrasi awal penyebaran Petya ini, ujarnya, banyak terdeteksi dari wilayah Rusia dan Ukrainia. Data sementara dari sejumlah analis keamanan komputer menunjukkan lebih dari 2.000 komputer yang berasal dari sekitar 80 perusahaan di Rusia dan Ukraina telah terinfeksi ransomware Petya sejak Selasa (27/6).

"Sebagaimana WannaCry, komputer yang terinfeksi oleh Petya ini akan terkunci file-filenya sehingga tidak bisa digunakan sebagaimana mestinya. Sementara untuk membuka kuncinya agar file-filenya dapat diakses kembali diperlukan tebusan sebesar US$300 dalam crypto currency bitcoins," jelasnya.

Bila WannaCry menelan korban utama adalah infrastruktur layanan kesehatan dari Britain National Health Service (NHS), Petya telah menelan korban dari sejumlah operator pelabuhan di New York, Rotterdam dan Argentina, termasuk juga sistem pemerintahan di Kiev, serta sejumlah perusahaan besar seperti Rosneft, Maersk, WPP Plc.

"Bahkan infeksi Petya telah memaksa operator fasilitas nuklir Chernobyl untuk menjalan prosedur manual dalam menjalankan aktivitas di lingkungan fasilitas nuklir Chernobyl," ungkap Yudi.

Meningkatnya serangan ransomware sebagai modus bagi cyber attack, sebenarnya sudah diprediksi oleh banyak pengamat keamanan komputer.

"Laporan dari perusahaan Verizon menyebutkan bahwa sepanjang 2016 telah terjadi peningkatan sebesar 50% serangan cyber attack dengan modus ransomware. Pada tahun yang sama bahkan sejumlah perusahaan lainnya seperti halnya Threat Intelligence Service telah memperkirakan akan semakin masif dan canggihnya teknik-teknik yang digunakan dalam penyebaran dan cara kerja dari ransomware ini," paparnya.

Sudah dikenal
Dalam hal ini, tambah Yudi, ransomware yang kini dikenal sebagai Petya sebenarnya pernah direview oleh Threat Intelligence setahun lalu. Sehingga menurut Threat Intelligfence ransomware yang saat ini tersebar dikenali sebenarnya adalah varian lain dari Petya yang pernah direview, dan kemudian secara mudah diberi nama Not Petya.

Pemerintah Indonesia, imbuh Yudi, melalui ID-SIRTII telah secara aktif memantau dan menyiapkan segala perkembangan dari ransomware Petya. ID-SIRTII juga telah menyiapkan langkah-langkah mitigasi agar bisa meminimalkan jatuhnya korban pengguna komputer pribadi maupun institusi dari serangan ransomware Petya secara cepat.

Tim ID-SIRTII telah melakukan notifikasi kepada para mitra yang bekerja sama seperti penyelenggara layanan internet, serta masyarakat luas tentang ransomware Petya serta bagaimana cara mengantisipasinya.

Menurut analis keamanan komputer dari perusahaan Symantec, penyebaran dari ransomware Petya ini adalah dengan memanfaatkan exploit yang dikenal dengan nama Eternal Blue dengan mengkombinasikan client side attack (CVE-2017-0199), dan network based threat (kode MS17-010) yang muncul karena adanya vulnerability pada sistem operasi Windows.

Pada prinsipnya, menurut sejumlah pakar keamanan komputer, Petya adalah keluarga ransomware yang bekerja dengan cara melalukan memodifikasi Master Boot Record (MBR) dari sistem operasi Windows yang telah terinfeksi.

Ransomware ini masuk melalui file rundll32.exe dengan #1 sebagai titik
masuk DLL. Ketika komputer terinfeksi muncul pesan berikut ini ketika proses reboot: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, TOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

"Jika muncul pesan seperti ini, langsung matikan komputer. Jangan malah menurutinya. Petya adalah jenis ransomware yang cara kerjanya berbeda dari ransomware lainnya," tegas Yudi.

Dalam hal ini, ransomware pada umumnya akan melakukan enkripsi file satu per satu, namun tidak demikian dengan cara kerja Petya. Petya tidak melakukan proses enkripsi file pada sistem yang terinfeksi secara satu per satu.

Petya akan melakukan proses reboot computer korban kemudian melakukan enkripsi tabel Master File Table (MFT) sehingga berakibat master boot record (MBR) dari komputer yang terinfeksi menjadi tidak dapat beroperasi, membatasi akses ke keseluruhan sistem dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi fisik pada disk.

Selanjutnya Petya akan menggantikan file MBR dengan kode yang justru menampilkan catatan tebusan dan membiarkan komputer tidak dapat melakukan booting.

"Pengguna atau perusahaan yang terinfeksi oleh Petya disarankan untuk tidak membayar uang tebusan. Itu karena hacker di belakang Petya ransomware tidak bisa dikontak lagi melalui email yang diinformasikan kepada si korban," lanjutnya.

Sejumlah alamat email yang digunakan oleh hacker di belakang Petya, kata Yudi, telah diblokir oleh penyedia jasa hosting emailnya. Sehingga email tersebut tidak bisa digunakan lagi, dan otomatis tidak ada lagi komunikasi via email antar korban dan si pembuat Petya.

Dalam hal setidaknya dari sejumlah varian Petya ditemukan 4 identitas email yang digunakan untuk berkomunikasi antara korban dengan pembuat Petya yaitu [email protected], [email protected], [email protected], [email protected].

Semua alamat email tersebut telah diblokir oleh penyedia jasa emailnya. Namun demikian, hingga 24 jam setelah penyebaran awal Petya, pemantauan terhadap akun bitcoin yang digunakan oleh di pembuat Petya untuk membayar uang tebusan di akun '1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX' berhasil menarik dana sebesar $6.775 dari pembayaran sekitar 23 korban Petya.

Pada saat yang bersamaan, sejumlah anti virus segera melakukan update data base mereka agar dapat melakukan deteksi dan recovery terhadap komputer yang terinfeksi oleh Petya.

Menurut perusahaan anti Virus yaitu Virus Total, berdasarkan pengamatan terhadap 61 aplikasi anti virus yang tersedia saat ini, baru 16 di antaranya yang berhasil mendeteksi memberikan solusi terhadap serangan ransomware Petya. (OL-4)