Kasus Ransomware Lagi

Mungkin sebagian dari para pembaca sudah pernah mendengar kata “Ransomware” dan masalah yang pernah ditimbulkannya. Belum pernah? Baiklah, saya jelaskan secara singkat apa itu Ransomware. Ransomware adalah sebuah contoh dari malware, malicious software, yaitu perangkat lunak yang memiliki itikad jahat. Contoh malware yang paling banyak kita kenal adalah virus komputer. Ransomware merusak sistem komputer kita dengan mengacak (encrypt) berkas-berkas atau harddisk komputer kita. Akibatnya komputer tidak dapat bekerja. Ransomware ini kemudian meminta bayaran kepada pengguna untuk mendapatkan kunci yang digunakan untuk mengacak. Biasanya pembayaran ini dilakukan melalui bitcoin sehingga tidak terlacak siapa orang sesungguhnya. Kasus ransomware yang sempat menjadi terkenal adalah WannaCry.

Baru-baru ini ransomware membuat gara-gara lagi di Amerika. Seorang cracker berhasil menguasai sistem komputer yang dimiliki oleh Colonial Petroleum (Colonial Oil Industries) dan menanamkan Ransomware di sistem komputer tersebut. Ternyata sistem ini digunakan untuk mengelola pipa yang menyalurkan bahan bakar (bensin) di Amerika Timur. Akibatnya produksi (distribusi) terhenti sehinggal 45% dari distribusi bensin di Amerika bagian Timur terganggu. Banyak orang yang menjadi panik dan kemudian menyerbu pom bensin untuk mengisi bensin mobilnya (menimbun bensin). Akibatnya terjadi kelangkaan bahan bakar. Ada sedikit kekacauan.

Bidang energi merupakan salah satu bidang yang dianggap sebagai infrastruktur kritis (critical infrastructure). Selain bidang energi ada bidang-bidang lain yang juga dianggap sebagai infrastruktur kritis. Setiap negara memiliki daftar yang berbeda, tetapi biasanya energi (termasuk listrik) merupakan yang dianggap infrastruktur kritis. Perlindungan terhadap sistem yang termasuk infrastruktur kritis harus dilakukan dengan lebih serius.

Ini adalah sebuah contoh bagaimana masalah keamanan di dunia siber (cybersecurity) berdampak nyata. Banyak yang tadinya menganggap remeh masalah keamanan sekarang menjadi lebih terbuka. Ini merupakan pelajaran yang cukup mahal.

Tautan bahan bacaan:

Tentang Ransomware Petya

[Lagi asyik-asyiknya liburan, eh ada masalah keamanan lagi. Terpaksa ngeblog dulu.]

Lagi-lagi ramai tentang ransomware. Kali ini ransomware yang muncul diberi nama Petya. (Nama Petya ini sebetulnya kurang tepat karena pada awalnya diduga ransomware ini memiliki kesamaan dengan kode ransomware lama yang bernama Petya, namun ternyata kodenya berbeda. Maka muncullah nama pelesetan lain, seperti NotPetya, ExPetya, Goldeneye, dan seterusnya.)

Seperti halnya ransomware lainya, Petya juga mengunci berkas di komputer target dan meminta pembayaran melalui Bitcoin. Setelah membayar menggunakan Bitcoin, target diminta untuk memberitahukan melalui email. Namun email tersebut sudah dibekukan oleh providernya (Posteo) sehingga tidak ada mekanisme untuk memberitahukan bahwa ransom sudah dibayar. Dengan kata lain, tidak bisa mengembalikan berkas-berkas. Solusinya ya hanya pasang kembali (reinstall) sistem operasi Windows.

(Karena sifatnya yang tidak bisa dikembalikan lagi – entah sengaja atau tidak – maka Petya ini dapat dikatakan bukan ransomware, tapi malware yang menghapus disk saja. Sama jahatnya.)

Petya juga menggunakan kelemahan dari SMB v1 yang banyak digunakan pada sistem operasi Microsoft untuk berbagai fungsi, seperti misalnya untuk file sharing. Ini kelemahan sama yang dimanfaatkan oleh ransomware WannaCry. Dikabarkan kelemahan ini diketahui oleh NSA yang kemudian mengembangkan eksploit yang bernama EternalBlue (dan eksploit lainnya). Beberapa malware / ransomware dikembangkan dari eksploitasi ini.

Penyebaran Petya awalnya diberitakan oleh Polisi Ukraina dan terkait dengan software akunting yang harus digunakan oleh perusahaan-perusahaan yang memiliki proyek di pemerintahan Ukraina. (Tentu saja perusahaan pengembang software tersebut menolak tuduhan ini.) Itulah sebabnya ada dugaan lain bahwa ransomware Petya ini merupakan kedok untuk melakukan kekacauan di dunia siber Ukrainan. Cyberwar?

Penyebaran ransomware Petya ini agak terbatas karena mekanisme distribusi yang menggunakan jaringan lokal (tidak seperti lainnya yang menggunakan internet sebagai pencarian target berikutnya). Namun ada juga upaya penyebaran melalui email phishing.

Petya juga memeriksa keberadaan berkas “C:\WINDOWS\perfc.dat” (read-only). Jika ada berkas tersebut, maka mekanisme enkripsi dimatikan. Namun ini tidak membatasi kehidupannya. Jadi ini bukan mekanisme kill switch sebagaimana ada pada ransomware lainnya.

Berbagai software anti-virus sudah dapat mendeteksi ransomware Petya ini. Update program anti virus Anda dan update sistem operasi secara berkala. Tentu saja lakukan backup data yang penting secara berkala.