Banyak organisasi-organisasi di Eropa dan Amerika Serikat yang dilumpuhkan oleh serangan ransomware terkini yang juga dikenal sebagai Petya. Malware ini telah menyebar ke sejumlah perusahaan besar meliputi perusahaan iklan WPP, perusahaan makanan Mondelez, firma legal DLA Piper dan firma perkapalan dan transporatsi Maersk. Serangan yang dilakukan adalah dengan cara mengunci semua data yang ada di komputer dan meminta tebusan.
Serangan ini yang menjadi serangan ransomware terbesar yang kedua kalinya selama dua bulan belakangan. Serangan WannaCry atau WannaCrypt telah menyerang lebih dari 230.000 komputer di lebih dari 150 negara dimana National Health Service (NHS) dari Britain, perusahaan telepon Telefónica dari Spanyol dan perusahaan kereta api Jerman menjadi korban terbesarnya.
Mirip seperti WannaCry, Petya menyebar dengan sangat cepat melalui jaringan yang menggunakan sistem operasi Microsoft Windows, tetapi sebenarnya apakah Petya itu, mengapa bisa terjadi dan bagaimana cara menghentikannya?
Apa itu ransomware?
Ransomware adalah sebuah malware yang memblokir akses komputer atau data yang ada di komputer dan meminta uang tebusan untuk mengembalikan akses atau data tersebut.
Bagaimana cara kerjanya?
Ketika komputer terserang, ransomware akan mengenkripsi dokumen dan file yang penting kemudian meminta uang tebusan, biasanya berupa Bitcoin, untuk kunci digital yang digunakan untuk membuka file yang telah dienkripsi. Jika korban tidak memiliki backup file terakhir maka mereka harus membayar uang tebusan atau kehilangan semua data yang ada di komputer tersebut.
Bagaimana cara kerja ransomware Petya?
Ransomware yang satu ini akan mengambil alih komputer dan meminta tebusan sebesar USD 300 dalam bentuk Bitcoin. Software perusak ini akan menyebar secara cepat di suatu organisasi saat ada satu komputer terinfeksi.
Malware ini memanfaatkan celah keamanan EternalBlue pada sistem operasi Microsoft Windows (Microsoft telah merilis patch terbaru untuk memperbaikinya, tetapi masih belum dipasang semua perangkat) atau melalui dua alat administratif Windows.
Malware ini akan mencoba opsi pertama dan jika gagal, maka opsi berikutnya akan dilakukan. “Malware ini memiliki mekanisme penyebaran yang lebih baik dari WannaCry,” kata Ryan Kalember, dari sebuah perusahan cybersecurity Proofpoint.
Adakah perlindungan yang dapat digunakan?
Kebanyakan perusahaan antivirus besar sekarang mengklaim bahwa software mereka telah diperbarui agar dapat secara aktif mendeteksi dan melindungi dari serangan Petya. Produk Symantec dan Kaspersky mengklaim telah memperbarui versi software dan dapat menangani malware ini. Sebagai tambahan juga, selalu memperbarui versi Windows minimum pada patch di bulan Maret dimana dapat bertahan dari celah keamanan EternalBlue.
Untuk wabah malware ini, ada cara perlindungan lain yang ditemukan: Petya mengubah status menjadi read-only pada file C:\Windows\perfc.dat, dan jika ditemukan oleh Petya, maka malware ini tidak akan menjalankan sisi enkripsi pada softtware tersebut.
Akan tetapi, “vaksin” ini tidak dapat benar-benar mencegah serangan, dan malware ini masih menggunakan PC kamu untuk menyebarkan ke PC lain pada jaringan yang sama.
Mengapa dinamakan Petya?
Sebenarnya, nama sesungguhnya bukan Petya. Malware ini nampaknya memiliki sejumlah kode yang mirip dengan ransomware lama yang disebut dengan Petya, tetapi setelah beberapa jam penyerangan dimulai, peneliti keamanan cyber menyadari bahwa “kemiripannya hanya sedangkal kulit”. Peneliti Kaspersky Lab di Rusia menamai malware ini NotPetya, sementara Bitdefender dari Romania menyebutnya Goldeneye.
Kapan serangan ini dimulai?
Menurut polisi cyber Ukraina, serangan ini nampaknya dimulai melalui mekanisme pembaharuan software pada suatu program akunting yang digunakan perusahaan-perusahaan yang bekerja dengan pemerintah Ukraina.
Hal ini menjelaskan mengapa banyak sekali organisasi Ukraina yang terinfeksi, meliputi pemerintahan, bank, sumber daya listrik, bandara Kiev, dan sistem transportasi metro. Bahkan sistem monitoring radiasi nuklir di Chernobyl pun diambil alih, sehingga sekarang mereka harus menggunakan cara manual untuk mengukur tingkat radiasi di situs nuklir tersebut.
Kemudian, gelombang kedua dari serangan ini dimulai dari kampanye phising yang berisikan lampiran malware.
Seberapa jauh penyebarannya?
Ransomware Petya telah meyebabkan gangguan serius pada perusahaan-perusahaan besar di Eropa dan Amerika Serikat, meliput perusahaan periklanan WPP, perusahaan material konstruksi Perancis, Saint-Gobain, dan perusahaan minyak dan baja dari Rusia, Evraz & Rosneft.
Perusahaan makanan Mondelez, perusahaan hukum DLA Piper, perusahaan perkapalan dan transportasi Denmark, AP Moller-Maersk, dan Heritage Valley Health System, dimana menggerakkan rumah sakit dan fasilitas kesehatan di Pittsburgh, juga mengatakan bahwa sistem mereka terkena serangan malware tersebut.
Tidak seperti WannaCry, versi Petya yang satu ini mencoba untuk menyebar dalam jaringan, tetapi tidak keluar jaringan lain. Hal itu dapat membatasi penyebaran malware ini, dimana terlihat bahwa adanya penurunan tingkat infeksi baru dari kemarin.
Apakah ini hanya kejahatan cyber biasa?
Pada awalnya penyerangan ini terlihat seperti kejahatan cyber biasa. Tetapi, para pakar keamanan berpendapat bahwa mekanisme pembayarannya terlalu amatir untuk sebuah kejahatan yan serius.
Pertama, pesan tebusan yang juga terdapat alamat pembayaran Bitcoin ditampilkan untuk semua korbannya dimana kebanyakan ransomware akan membuat sebuah alamat pembayaran yang unik untuk setiap korbannya.
Kedua, malware ini meminta korban untuk berkomunikasi dengan penyerang melalui sebuah alamat email yang juga telah ditutup oleh penyedia email ketika diketahui terjadinya penyalahgunaan email tersebut. Hal ini menunjukkan bahwa jika seseorang membayar tebusan, mereka tidak dapat berkomunikasi dengan penyerang untuk meminta kunci dekripsi yang akan dipakai untuk membuka file mereka.
Apa yang harus kamu lakukan jika terinfeksi Petya?
Ransomware ini menyerang komputer dan kemudian menunggu kurang lebih satu jam untuk me-restart komputer. Saat komputer sedang restart, kamu dapa mematikan komputer untuk mencegah file dienkripsi dan mencoba untuk menyelamatkan file dari komputer terlebih dahulu, seperti disampaikan oleh akun Twitter HackerFantastic.
Jika sistem menyala dengan pesan tebusan, jangan bayar uang tebusannya karena alamat email yang dituliskan telah ditutup sehingga tidak mungkin kamu bisa mendapatkan kunci dekripsinya lagi. Putuskan koneksi internet pada PC kamu, format ulang hard disk, dan install ulang file dari backup. Jangan lupa untuk melakukan backup secara berkala dan tetap menggunakan versi terbaru dari antivirus dan Windows.