Ruintech : WannaCry

WannaCry


     Serangan ransomware yang disebut WannaCry memang sedang menjadi sumber berita utama keamanan terkemuka di dunia. Perhatian semacam itu terjadi karena suatu alasan. Infeksi ini telah menyerang sejumlah perusahaan besar di Eropa dalam beberapa hari terakhir, dan terus berjalan mulus. Trojan tebusan ini mengenkripsi rekaman data milik targetnya dan menodainya dengan ekstensi .WNCRY.

     Virus file .WNCRY, yang juga memanifestasikan dirinya sebagai Wana Decrypt0r 2.0, mewakili garis silsilah ancaman kripto yang relatif baru. Di bagian luar, tampilannya mirip dengan prekursor yang disebut WCRY, atau Wanna Decryptor 1.0. Arsitek kampanye ini butuh lebih dari sebulan untuk merilis versi pembaruan dari wabah mereka. Varian terbaru terbukti jauh lebih kompleks dan kuat dalam hal mekanisme perambatan, mekanisme enkripsi dan pemerasan. Kecepatan peredarannya belum pernah terjadi sebelumnya – secara mengagetkan dilaporkan 57.000 komputer tertular hanya dalam waktu beberapa jam pada 12 Mei 2017. Prevalensi ini dijelaskan oleh fakta bahwa penjahat dunia maya menggunakan eksploitasi NSA yang dibuang oleh peretas awal bulan ini. Dengan cara ini, penjahat dapat mengakses workstation jarak jauh melalui RDP dan menjalankan uang tebusan tanpa harus menggunakan teknik sosialisasi kepada para korbannya.

     Sebenarnya ransomware bukanlah hal baru, karena virus yang melakukan cryptovirology ini, pertama kali hadir di tahun 1989 dengan nama AIDS Trojan. Virus ini melakukan serangan menggunakan kriptografi untuk perangkat lunak yang berbahaya. Sehingga file-file yang dimiliki oleh korban akan terenkripsi, dan menghalangi korban untuk mengakses jaringannya sendiri.

     Pada masa pertama kemunculuannya, virus ransomware disebarkan menggunakan disket, yang dikirim melalui jasa pos. Sebanyak 20 ribu keping disket berisi materi tentang pendidikan AIDS, diselipi virus ransomware dan dikirim ke 90 negara di dunia.

     Hacker meminta tebusan sebesar $189 USD, jika korban menginginkan data dan filenya kembali dengan selamat. Tapi sayangnya serangan virus tersebut gagal, karena dapat dengan mudah diantisipasi, dan korban tidak perlu membayar sejumlah uang.

     Mengidentifikasi serangan ini cukup melelahkan. Setelah menyelesaikan rantai kontaminasi, ia mengkonfigurasi sistem target untuk menampilkan latar belakang desktop baru dengan pesan peringatan di dalamnya. Selanjutnya, sebuah layar berjudul Wana Decrypt0r 2.0 muncul, memberikan rincian tentang apa yang terjadi dan menampilkan jumlah waktu dimana uang tebusan harus diserahkan. Informasi di jendela ini juga mencakup ukuran tebusan, yang setara dengan Bitcoin sebesar $ 300, serta alamat Bitcoin untuk mengirim uang digital. Ciri mencolok lainnya adalah perpanjangan file baru yang ditambahkan ke data yang terenkripsi. Daftar kemungkinan ekstensi pada saat ini meliputi .WNCRY, .WCRY, .WNRY, dan .WNCRYPT. Yang pertama .WNCRY, paling sering ditemui selama gelombang ransomware khusus ini. Nama file asli tidak berubah, sehingga korban dihadapkan dengan perubahan file seperti contoh berikut ini: Chart.xlsx –> Chart.xlsx.WNCRY.

     The WannaCry ransomware juga meninggalkan catatan tebusan plaintext untuk memastikan korban tidak gagal untuk menemukan panduan dekripsi yang diberlakukan oleh penyerang. Ini bernama @Please_Read_Me@.txt. Kata-kata di dalamnya sedikit berbeda dengan yang ada di jendela peringatan di atas. Dikatakan, “Apa yang salah dengan file saya? Oooops, file penting Anda dienkripsi … ” Singkat cerita, metode pemulihan yang disarankan oleh penjahat mensyaratkan bahwa pengguna harus membayar Bitcoin senilai $ 300 atau setara dengan Rp. 4 juta dalam satuan bitcoin dan kemudian menjalankan aplikasi yang disebut dengan @wanadecryptor@.exe, yang dikirimkan ke komputer sebagai bagian dari serangan tersebut.

     Untuk melindungi dirinya dari pemusnahan, virus WannaCry menampilkan beberapa tips pada wallpaper desktop baru. Ini memberikan langkah-langkah yang berlaku jika suite antimalware korban telah menghapus alat Dekripsi Wana. Pesan desktop menentukan instruksi untuk meluncurkan ulang executable berbahaya agar bisa melanjutkan dekripsi melalui pembayaran. Intinya, serangan terlihat telah dipikirkan dengan seksama tidak peduli bagaimanapun Anda mengirisnya, yang menunjukkan bahwa kampanye tersebut dioperasikan oleh aktor dengan latar belakang pemerasan yang signifikan. Distribusi yang rumit secara teknis melalui RDP menimbulkan bukti lain bahwa penjahat bukanlah pemula dalam hal yang mereka lakukan. Jadi industri keamanan sedang menghadapi musuh terampil lain dan mudah-mudahan white hat akan segera menghasilkan metodologi perlawanan dalam waktu dekat.