SHARE

Serangan ransomware kembali menjadi tren minggu ini setelah ransomware bernama Petya berhasil menginfeksi dan menyebar secara besar-besaran di beberapa negara di Eropa. Ukraina, Polandia, Italia, Jerman, dan Rusia menjadi negara yang berhasil terinfeksi menurut laporan yang dirilis oleh Kaspersky. Ukraina menjadi negara dengan jumlah infeksi terbesar dimana dilaporkan berbagai organisasi dari berbagai sektor menjadi korbannya.

Negara korban infeksi Petya ransomware | sumber gambar: securelist.com

Petya menyebar dengan memanfaatkan kerentanan yang sama yang sebelumnya juga berhasil dimanfaatkan oleh WannaCry yakni SMBv1 dan eksploit EternalBlue. Beberapa peneliti malware juga berhasil menemukan informasi bahwa Petya juga menggunakan WMIC dan PSEXEC untuk menyebarkan dirinya dan menginfeksi komputer lain di jaringan yang sama.

Berbeda dengan ransomware kebanyakan dimana file-file akan dienkripsi satu per satu, Petya justru akan melakukan enkripsi terhadap Master File Table (MFT) pada harddisk dan membuat Master Boot Record (MBR) tidak berfungsi sebagaimana mestinya. MBR kemudian diganti menggunakan pesan ransom milik Petya untuk menampilkan pesan ransom dan metode pembayaran bitcoin tebusan kepada pelaku kriminal.

Pesan ransom dari Petya ransomware | sumber gambar: securelist.com

Para korban dari infeksi ransomware ini diharapkan tidak melakukan pembayaran bitcoin seperti yang diinstruksikan dalam pesan ransomnya. Sesuai petunjuk yang ditampilkan dalam pesan ransomnya, setelah melakukan pembayaran bitcoin, korban diminta untuk mengirimkan pesan ke alamat email milik pelaku kriminal. Karena alamat email tersebut telah di-suspend oleh pihak penyedia layanan email tersebut dan pelaku kriminal sekarang juga tidak memiliki akses ke email tersebut sehingga melakukan pembayaran bitcoin untuk mengembalikan file yang sudah terenkripsi akan percuma.

Setelah merubah MFT dan MBR, sistem yang terinfeksi akan melakukan restart beberapa kali. Ini merupakan proses enkripsi yang dilakukan oleh ransomware tersebut, sehingga jika korbannya mengetahui sistem akan melakukan restart sebaiknya langsung dimatikan saja dan tidak perlu dinyalakan kembali untuk mencegah proses enkripsi berjalan. Solusinya kemudian dapat menggunakan LiveCD untuk masuk kedalam sistem untuk menyelamatkan file-file yang belum sempat terenkripsi.

Infeksi pertama dari ransomware ini dicurigai berasal dari aplikasi perangkat lunak akutansi asal Ukraina bernama MeDoc. Pelaku kriminal berhasil meretas server penyedia update untuk kemudian menyisipkan ransomware kedalamnya. Saat update dari aplikasi tersebut digulirkan kepada pengguna maka secara otomatis pengguna akan terinfeksi juga dengan Petya ransomware. Petya ransomware kemudian akan melakukan scanning ke jaringan lokal untuk menyebarkan dirinya.

Banyak yang menyebutkan Petya sebagai penerus dari WannaCry dilihat dari metode penyebarannya yang sama-sama memanfaatkan kerentanan SMBv1 dan eksploit EternalBlue. Akan tetapi sejatinya ada beberapa perbedaan mencolok dari kedua ransomware ini diantaranya

  1. WannaCry menyebar dan menginfeksi hanya memanfaatkan kerentanan SMBv1 dan eksploit EternalBlue saja. Sementara Petya membutuhkan infeksi awal (dalam kasus di Ukraina melalui update aplikasi MeDoc) baru kemudian menginfeksi sistem lainnya pada jaringan lokal menggunakan eksploit EternalBlue, WMIC, dan PSEXEC.
  2. WannaCry menyebar secara otomatis pada jaringan internet yang sangat besar dan secara terus menerus akan melakukan scanning terhadap jaringan internet untuk mencari adanya celah kerentanan SMBv1 yang dapat dieskploitasi. Petya hanya menyebar pada jaringan lokal sesuai subnet yang ada pada sistem awal yang diinfeksinya jadi Petya tidak secara langsung melakukan scanning ke jaringan internet.
  3. WannaCry awal infeksinya hanya terjadi pada beberapa sistem saja sebelum akhirnya menyebar secara masif di internet. Sementara Petya di awal langsung menginfeksi begitu banyak sistem baru kemudian menyebar ke jaringan lokal dimana sistem awal berhasil diinfeksi.

Ransomware masih dan akan terus menjadi ancaman yang cukup mengerikan bagi berbagai organisasi dan industri. Melakukan backup secara rutin terhadap file-file penting menjadi salah satu cara untuk mengurangi dampak dari infeksi ransomware. Memastikan sistem operasi, antivirus dan perangkat keamanan lainnya menggunakan update terbaru juga sangat disarankan untuk mencegah infeksi dari ransomware.

Referensi:
Schroedinger’s Pet(ya)
Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCry
Petya Ransomware Attack – What’s Known

Tinggalkan komentar

Berikan komentar