Isi
- Apa itu ransomware NotPetya?
- Siapa yang Anda lindungi dari hal itu?
Apa itu ransomware NotPetya?
BukanPetya (atau bungkus hewan peliharaan) didasarkan pada versi yang lebih lama ransomware Petya, yang awalnya dirancang untuk menyandera file dan perangkat untuk pembayaran Bitcoin. Namun demikian Upaya NotPetya untuk mengumpulkan uang dalam serangan globalnya yang bergerak cepat, tampaknya mereka tidak semata-mata mencari uang. Sebaliknya, NotPetya mengenkripsi sistem file mesin untuk merugikan perusahaan. Aspek ransomware rupanya hanya kedok saja.
Video yang Direkomendasikan
Apa yang membuat NotPetya berbahaya adalah bahwa di balik bagian depan berbasis ransomware terdapat eksploitasi yang disebut Biru Abadi, diduga dirancang oleh Administrasi Keamanan Nasional Amerika Serikat (alias NSA). Ini menargetkan protokol jaringan tertentu dan rentan yang disebut Blok Pesan Server (versi 1) digunakan untuk berbagi printer, file, dan port serial antara PC berbasis jaringan Windows. Dengan demikian, kerentanan ini memungkinkan penyerang jarak jauh mengirim dan mengeksekusi kode berbahaya pada target komputer. Kelompok peretas Shadow Broker bocoran EternalBlue pada bulan April 2017.
Ransomware NotPetya juga menyertakan komponen “worm”. Biasanya, korban menjadi mangsa ransomware dengan mengunduh dan mengeksekusi malware yang disamarkan sebagai file sah yang dilampirkan dalam email. Pada gilirannya, malware tersebut mengenkripsi file tertentu dan memasang jendela popup di layar, meminta pembayaran dalam Bitcoin untuk membuka kunci file tersebut.
Namun, ransomware Petya yang muncul pada awal tahun 2016 membawa serangan itu selangkah lebih maju dengan mengenkripsi seluruh perangkat keras PC. drive atau solid state drive dengan menginfeksi master boot record, sehingga menimpa program yang memulai booting Windows urutan. Hal ini mengakibatkan enkripsi tabel yang digunakan untuk melacak semua file lokal (NTFS), mencegah Windows menemukan apa pun yang disimpan secara lokal.
Meskipun kemampuannya mengenkripsi seluruh disk, Petya hanya mampu menginfeksi satu PC target. Namun, seperti yang terlihat dengan wabah WannaCry baru-baru ini, ransomware kini memiliki kemampuan untuk berpindah dari PC ke PC di jaringan lokal tanpa campur tangan pengguna apa pun. Ransomware NotPetya baru mampu menyerang jaringan lateral yang sama, tidak seperti versi Petya asli.
Menurut Microsoft, salah satu vektor serangan NotPetya adalah kemampuannya mencuri kredensial atau menggunakan kembali sesi aktif.
“Karena pengguna sering masuk menggunakan akun dengan hak istimewa admin lokal dan membuka sesi aktif beberapa mesin, kredensial yang dicuri kemungkinan besar akan memberikan tingkat akses yang sama dengan yang dimiliki pengguna pada mesin lain mesin,” perusahaan melaporkan. “Setelah ransomware memiliki kredensial yang valid, ia akan memindai jaringan lokal untuk membuat koneksi yang valid.”
Ransomware NotPetya juga dapat menggunakan berbagi file untuk memperbanyak dirinya di jaringan lokal, dan menyerang mesin yang tidak dipatch untuk melawan kerentanan EternalBlue. Microsoft bahkan menyebutkan Romansa Abadi, eksploitasi lain yang digunakan terhadap protokol Blok Pesan Server yang diduga dibuat oleh NSA.
“Ini adalah contoh bagus dari dua komponen malware yang bersatu untuk menghasilkan malware yang lebih berbahaya dan tangguh,” katanya Kepala Petugas Keamanan Informasi Ivanti Phil Richards.
Selain serangan NotPetya yang cepat dan meluas, terdapat masalah lain: pembayaran. Ransomware menyediakan jendela popup yang meminta korban membayar $300 dalam bentuk Bitcoin menggunakan alamat Bitcoin tertentu, ID dompet Bitcoin, dan nomor instalasi pribadi. Korban mengirimkan informasi ini ke alamat email yang disediakan yang merespons dengan kunci buka kunci. Alamat email tersebut segera ditutup setelah penyedia email induk asal Jerman, Posteo, mengetahui niat jahatnya.
“Kami mengetahui bahwa pemeras ransomware saat ini menggunakan alamat Posteo sebagai alat kontak. Tim anti-penyalahgunaan kami segera memeriksanya – dan langsung memblokir akun tersebut,” kata perusahaan itu. “Kami tidak menoleransi penyalahgunaan platform kami: Pemblokiran segera terhadap akun email yang disalahgunakan adalah pendekatan yang diperlukan oleh penyedia layanan dalam kasus seperti ini.”
Artinya, upaya pembayaran apa pun tidak akan berhasil, meskipun pembayaran adalah tujuan malware.
Terakhir, Microsoft mengindikasikan bahwa serangan tersebut berasal dari perusahaan Ukraina M.E.Doc, pengembang di balik perangkat lunak akuntansi pajak MEDoc. Microsoft tampaknya tidak menyalahkan siapa pun, namun menyatakan bahwa mereka mempunyai bukti bahwa “beberapa infeksi aktif pada ransomware awalnya dimulai dari proses pembaru MEDoc yang sah.” Jenis infeksi ini, catat Microsoft, sedang berkembang kecenderungan.
Sistem apa yang berisiko?
Untuk saat ini, ransomware NotPetya tampaknya fokus menyerang PC berbasis Windows di organisasi. Misalnya, seluruh sistem pemantauan radiasi yang terletak di pembangkit listrik tenaga nuklir Chernobyl mengetuk offline dalam serangan itu. Di sini, di Amerika Serikat, terjadi serangan menyerang seluruh Sistem Kesehatan Heritage Valley, mempengaruhi semua fasilitas yang bergantung pada jaringan, termasuk rumah sakit Beaver dan Sewickley di Pennsylvania. Bandara Kiev Boryspil di Ukraina jadwal penerbangan yang terganggu penundaan, dan situs webnya menjadi offline karena serangan itu.
Sayangnya, tidak ada informasi yang menunjukkan versi pasti Windows yang ditargetkan oleh ransomware NotPetya. Laporan keamanan Microsoft tidak mencantumkan rilis Windows tertentu, meskipun untuk amannya, pelanggan harus berasumsi bahwa semua rilis Windows komersial dan mainstream mulai dari Windows XP hingga Windows 10 termasuk dalam serangan tersebut jendela. Bahkan WannaCry menargetkan mesin dengan Windows XP terinstal.
Siapa yang Anda lindungi dari hal itu?
Microsoft telah mengeluarkan pembaruan yang memblokir eksploitasi EternalBlue dan EternalRomance yang digunakan oleh wabah malware terbaru ini. Microsoft menangani keduanya pada 14 Maret 2017, dengan merilis pembaruan keamanan MS17-010. Itu terjadi lebih dari tiga bulan yang lalu, artinya perusahaan yang diserang oleh NotPetya melalui eksploitasi ini belum melakukan pembaruan PC mereka. Microsoft menyarankan agar pelanggan segera menginstal pembaruan keamanan MS17-010, jika mereka belum melakukannya sudah.
Menginstal pembaruan keamanan adalah cara paling efektif untuk melindungi PC Anda
Untuk organisasi yang belum bisa menerapkan pembaruan keamanan, ada dua metode yang akan mencegah penyebaran ransomware NotPetya: menonaktifkan Blok Pesan Server versi 1 sepenuhnya, dan/atau membuat aturan di router atau firewall yang memblokir lalu lintas Blokir Pesan Server yang masuk pada port 445.
Ada satu lagi cara sederhana untuk mencegah infeksi. Mulailah dengan membuka File Explorer dan memuat folder direktori Windows, yang biasanya “C:\Windows.” Di sana Anda perlu membuat file bernama "perfc" (ya tanpa ekstensi) dan atur izinnya ke "Read Only" (melalui Umum/Atribut).
Tentu saja, sebenarnya tidak ada opsi untuk membuat file baru di direktori Windows, hanya opsi Folder Baru. Cara terbaik untuk membuat file ini adalah dengan membuka Notepad dan menyimpan file kosong “perfc.txt” di folder Windows. Setelah itu, cukup hapus ekstensi “.txt” pada namanya, terima peringatan popup Window, dan klik kanan pada file tersebut untuk mengubah izinnya menjadi “Read Only.”
Jadi, ketika NotPetya menginfeksi PC, ia akan memindai folder Windows untuk mencari file tertentu, yang sebenarnya merupakan salah satu nama filenya sendiri. Jika file perfc sudah ada, NotPetya berasumsi bahwa sistem sudah terinfeksi, dan menjadi tidak aktif. Namun, dengan rahasia ini yang kini diketahui publik, peretas mungkin akan kembali mengambil tindakan dan merevisi ransomware NotPetya agar bergantung pada file lain.
Rekomendasi Editor
- Game ini memungkinkan peretas menyerang PC Anda, dan Anda bahkan tidak perlu memainkannya
- Jadilah yang paling produktif dengan tip dan trik Slack ini
