oleh

Serangan Ransomware Petya di Seluruh Dunia

PENANEGERI, Techno – Serangan sejenis virus ransomware yang diperkirakan adalah virus ransomware yang disebut Petya, telah menyerang komputer di berbagai wilayah dunia, menjangkiti server di perusahaan minyak terbesar Rusia, mengganggu operasi bank di Ukraina dan mematikan komputer di perusahaan perkapalan dan periklanan multinasional, di Eropa, Selasa (27/6).

Serangan tersebut pertama kali menyerang sistem operasi komputer di beberapa server di Rusia dan Ukraina sebelum ‘go global’ alias menyebar secara global di seluruh Dunia.

Di Australia, sudah dilaporkan ransomware juga menginfeksi beberapa komputer di negara benua Kangguru itu. Firma hukum global ‘DLA Piper’ di Australia telah mengatakan bahwa pihaknya telah menjadi korban sebuah insiden cyber besar hari selasa (27/6) malam, demikian menurut kantor berita ABC.

Baca : Serangan Virus Ransomware Petya di Seluruh Eropa

Staf ‘DLA Piper’ di Australia disarankan melalui teks pagi ini bahwa semua sistem TI Piper DLA telah diturunkan untuk menampung situasi, dan telah diperingatkan untuk tidak mencoba masuk ke komputer mereka atau menyalakannya.

Firma DLA telah memberi tahu staf bahwa kemungkinan sistem TI akan pulih sepenuhnya selama hari kerja di kawasan Asia Pasifik.

Perangkat lunak berbahaya mengunci file komputer dengan enkripsi yang tidak dapat dipecahkan dan kemudian menuntut uang tebusan dalam bitcoin mata uang virtual untuk pembebasannya.

Apa itu Ransomware ?

Ransomware adalah jenis malware yang menghalangi akses ke komputer atau datanya dan menuntut uang tebusan (ransom) untuk melepaskannya.

Bagaimana cara kerjanya?

Saat komputer terinfeksi, ransomware mengenkripsi dokumen dan file penting dan kemudian menuntut uang tebusan, biasanya di Bitcoin, untuk kunci digital yang diperlukan untuk membuka kunci file. Jika korban tidak memiliki cadangan file baru-baru ini, mereka harus membayar uang tebusan atau kehilangan semua file mereka.

Bagaimana cara kerja Petya Ransomware?

Ransomware Petya mengambil alih komputer dan menuntut tebusan (ransom) $ 300, yang dibayar di Bitcoin.

Perangkat lunak berbahaya ini menyebar dengan cepat ke seluruh organisasi begitu komputer terinfeksi menggunakan kerentanan EternalBlue di Microsoft Windows (Microsoft telah merilis sebuah patch, namun tidak semua orang akan menginstalnya) atau melalui dua alat administrasi Windows.

Malware mencoba satu opsi dan jika tidak berhasil, perangkat lunak akan mencoba yang berikutnya.

“Ini memiliki mekanisme yang lebih baik untuk menyebarkan dirinya daripada WannaCry”, kata Ryan Kalember dari perusahaan cybersecurity Proofpoint.

Darimana mulainya?

Serangan tersebut tampaknya telah masuk melalui mekanisme pembaruan perangkat lunak yang dibuat dalam sebuah program akuntansi dari perusahaan-perusahaan yang bekerja dengan pemerintah Ukraina yang perlu menggunakan, demikian menurut Polisi Cyber Ukraina.

Ini menjelaskan mengapa begitu banyak organisasi Ukraina terpengaruh, termasuk pemerintah, bank, utilitas negara dan sistem bandara dan metro di Kiev.

Sistem pemantauan radiasi di Chernobyl dikabarkam juga terpaksa offline, dan karyawan menggunakan alat ukur manual untuk mengukur tingkat radiasi di zona eksklusi pabrik nuklir tersebut.

Baca Juga  Serangan Virus Ransomware 'Petya' di Seluruh Eropa

Ransomware”Petya” telah menyebabkan gangguan serius pada perusahaan besar di Eropa dan Amerika Serikat, termasuk perusahaan periklanan WPP, perusahaan bahan bangunan Prancis Saint-Gobain dan perusahaan baja dan minyak Rusia Evraz and Rosneft. Perusahaan makanan Mondelez, perusahaan hukum DLA Piper, perkapalan dan perusahaan transportasi Denmark AP Moller-Maersk dan Heritage Valley Health System, yang mengelola rumah sakit dan fasilitas perawatan di Pittsburgh, juga mengatakan bahwa sistem mereka telah terkena malware.

Awalnya seperti Petya ternyata hanya cybercriminal yang memanfaatkan cyberweapons yang bocor secara online. Namun, pakar keamanan mengatakan bahwa mekanisme pembayaran serangan tersebut tampaknya terlalu amatir untuk dilakukan oleh penjahat serius.

Pertama, catatan tebusan mencakup alamat pembayaran Bitcoin yang sama untuk setiap korban – kebanyakan uang tebusan membuat alamat khusus untuk setiap korban.

Kedua, Petya meminta korban untuk berkomunikasi dengan penyerang melalui satu alamat email yang telah ditangguhkan oleh penyedia email setelah mereka mengetahui hal itu. Ini berarti bahwa bahkan jika seseorang membayar uang tebusan, mereka tidak memiliki cara untuk berkomunikasi dengan penyerang untuk meminta kunci dekripsi untuk membuka kunci file mereka.

Baiklah, lalu siapa yang berada di balik serangan itu?

Ini tidak jelas, tapi nampaknya itu adalah seseorang yang menginginkan malware tersebut untuk menyamar sebagai ransomware, padahal sebenarnya hanya merusak, terutama kepada pemerintah Ukraina.

Peneliti keamanan Nicholas Weaver mengatakan kepada blog cybersecurity Krebs on Security bahwa Petya adalah “serangan yang disengaja, berbahaya, merusak atau mungkin sebuah tes yang disamarkan sebagai ransomware”.

Apa yang harus Anda lakukan jika Anda terkena ransomware?

Ransomware bisa menginfeksi komputer dan kemudian menunggu sekitar satu jam sebelum me-reboot mesin.
Saat mesin dihidupkan ulang, Anda dapat mematikan komputer agar file tidak dienkripsi dan mencoba dan menyelamatkan file dari mesin, seperti yang ditandai oleh @HackerFantastic di Twitter.

Jika mesin di-reboot dan Anda melihat pesan ini, matikan segera! Ini adalah proses enkripsi. Jika Anda tidak menyalakannya, file baik-baik saja.

Jika sistem di-reboot dengan uang tebusan, jangan membayar uang tebusan – alamat email “layanan pelanggan” telah ditutup sehingga tidak ada kemungkinan untuk mendapatkan kunci dekripsi untuk membuka file Anda.

Putuskan koneksi PC Anda dari internet, perbarui hard drive dan instal ulang file Anda dari cadangan. Cadangkan file Anda secara teratur dan perbarui perangkat lunak anti-virus Anda.

Selain itu, banyak korban juga menginformasikan bahwa ransomware Petya juga telah menginfeksi sistem tambalan mereka.

“Petya menggunakan eksploitasi NSA Eternalblue tapi juga menyebar di jaringan internal dengan WMIC dan PSEXEC. Karena itu sistem yang ditambal bisa terkena serangan,” ujar Mikko Hypponen Chief Research Officer di F-Secure, menegaskan.

Petya adalah ransomware yang berbahaya dan bekerja sangat berbeda dari malware ransomware lainnya. Tidak seperti ransomware tradisional lainnya, Petya tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.

Sebaliknya, Petya mereboot komputer dan mengenkripsi tabel  master file table (MFT) dan membuat master boot record (MBR) tidak dapat dioperasi, membatasi akses ke sistem penuh dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi pada harddisk (disk fisik).

Petya ransomware menggantikan MBR komputer yang terinfeksi dengan kode berbahaya yang menampilkan catatan tebusan dan membiarkan komputer tidak dapat melakukan booting.

Jangan Bayar Ransom, Anda Tidak Akan Mendapatkan Kembali File Anda

Pengguna yang terinfeksi disarankan untuk tidak membayar uang tebusan karena hacker di belakang Petya ransomware tidak bisa mendapatkan email Anda lagi.

Posteo, penyedia email Jerman, telah menangguhkan alamat emailnya yaitu wowsmith123456@posteo.net, yang berada di belakang yang digunakan oleh para penjahat untuk berkomunikasi dengan korban setelah mendapatkan uang tebusan untuk mengirim kunci dekripsi.

Setidaknya, 23 korban telah membayar Bitcoin ke alamat ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ untuk mendekripsi file mereka yang terinfeksi Petya, yang jumlahnya kira-kira $ 6775.

Petya Ransomware Menyebar dengan Cepat di Seluruh Dunia, Sama Seperti WannaCry

Screenshot dari infeksi Petya terbaru, yang dibagikan di Twitter, menunjukkan bahwa alat tulis menampilkan teks, menuntut $ 300 senilai Bitcoins. Inilah yang dibaca teks:

“Jika Anda melihat teks ini, maka file Anda tidak dapat diakses lagi, karena dienkripsi Mungkin Anda sibuk mencari cara untuk memulihkan file Anda, tapi jangan buang waktu Anda. Tidak ada yang bisa memulihkan file Anda tanpa layanan dekripsi kami.  ”

waspadai serangan ransomware Petya yang minta ransom/tebusan $300 untuk files yang disandera

Menurut pemindaian VirusTotal baru-baru ini, saat ini, hanya 16 dari 61 layanan anti-virus yang berhasil mendeteksi perangkat lunak ranjau ransomware Petya.

Petya ransomware juga telah menginfeksi – raksasa minyak milik negara Rusia Rosneft, pemasok listrik negara Ukraina, “Kyivenergo” dan “Ukrenergo,” dalam beberapa jam terakhir.

“Kami diserang Dua jam yang lalu, kami harus mematikan semua komputer kami Kami menunggu izin dari Dinas Keamanan Ukraina (SBU) untuk mengaktifkannya kembali,” kata layanan pers Kyivenergo.

Ada laporan dari beberapa bank, termasuk National Bank of Ukraine (NBU) dan Oschadbank, serta perusahaan lain yang mengkonfirmasi bahwa mereka telah terkena serangan royong Petya.

Perusahaan pelayaran Maersk, perusahaan logistik internasional, juga mengkonfirmasi di Twitter bahwa serangan ransomware Petya terbaru telah mematikan sistem TI-nya di berbagai lokasi dan unit bisnis.

“Kami dapat mengonfirmasi bahwa sistem TI Maersk ada di beberapa situs dan unit bisnis kami, saat ini kami sedang menegaskan situasi keselamatan karyawan kami, operasi dan bisnis pelanggan kami adalah prioritas utama kami. Kami akan memperbarui bila ada lebih banyak informasi,” kata perusahaan itu.

Uang tebusan itu juga berdampak pada beberapa workstation di perusahaan pertambangan cabang Ukraina Evraz.

Kerusakan yang paling parah yang dilaporkan oleh bisnis Ukraina juga mencakup sistem yang dikompromikan di metro lokal Ukraina dan Bandara Boryspil di Kiev.

Tiga operator telekomunikasi Ukraina, Kyivstar, LifeCell, Ukrtelecom, juga terpengaruh dalam serangan Petya terbaru.

Bagaimana Petya Ransomware Menyebar Begitu Cepat?

Symantec, perusahaan keamanan cyber, juga telah mengkonfirmasi bahwa ransomware Petya mengeksploitasi eksploitasi SMBv1 EternalBlue, seperti WannaCry, dan memanfaatkan mesin Windows yang tidak terpakai.

“Petaka ransomware berhasil menyebar karena menggabungkan serangan sisi klien (CVE-2017-0199) dan ancaman berbasis jaringan (MS17-010),” ujar peneliti keamanan HackerFantastic dalam akun Twitter-nya.

EternalBlue adalah Windows SMB yang memanfaatkan bocoran oleh kelompok hacking Shadow Brokers yang terkenal di data dump April-nya, yang mengaku telah mencuri dari agen intelijen AS NSA, bersamaan dengan eksploitasi Windows lainnya.

Microsoft sejak itu telah menambal (patch) kerentanan untuk semua versi sistem operasi Windows, namun banyak pengguna tetap rentan, dan serangkaian varian malware mengeksploitasi kekurangan untuk mengirimkan ransomware.

Cara Melindungi Diri dari Serangan Ransomware

Seorang ahli IT, Swati Khandelwal dalam sebuah situs ‘thehackernews.com’ mengulas ‘Apa yang harus dilakukan segera?

Terapkan patch (tambalan) itu pada EternalBlue (MS17-010) dan nonaktifkan protokol file-sharing SMBv1 berusia 30 tahun yang tidak aman itu pada sistem dan server Windows Anda.

Karena Petya Ransomware juga memanfaatkan alat WMIC dan PSEXEC untuk menginfeksi komputer Windows yang telah ditambal sepenuhnya, Anda juga disarankan untuk menonaktifkan WMIC (Windows Management Instrumentation Command-line).

Cegah Infeksi & Petya Kill-Switch

Peneliti menemukan sistem enkripsi ransomware Petya setelah me-reboot komputer. Jadi jika sistem Anda terinfeksi dengan ransom ware Petya dan menyuruh restart,maka jangan menyalakannya kembali.

“Jika mesin di-reboot dan Anda melihat pesan ini, matikan segera! Ini adalah proses enkripsi. Jika Anda tidak menyalakannya, file akan baik-baik saja.”

HackerFantastic men-tweet.: “Gunakan LiveCD atau mesin eksternal untuk memulihkan file”

PT Security, perusahaan keamanan cyber berbasis di Inggris dan Amit Serper dari Cybereason, telah menemukan Kill-Switch untuk uang tebusan Petya.

Menurut sebuah tweet, perusahaan telah menyarankan pengguna untuk membuat file yaitu “C: \ Windows \ perfc” untuk mencegah infeksi ransomware.

Untuk melindungi terhadap infeksi ransomware, Anda harus selalu curiga terhadap file dan dokumen yang tidak diinginkan yang dikirim melalui email dan tidak boleh mengeklik tautan di dalamnya kecuali memverifikasi sumbernya.

Untuk selalu melindungi data berharga Anda, simpan rutinitas cadangan yang baik di tempat yang membuat salinan mereka ke perangkat penyimpanan eksternal yang tidak selalu terhubung ke PC Anda.

Selain itu, pastikan Anda menjalankan paket keamanan anti-virus yang bagus dan efektif di sistem Anda, dan tetap up-to-date. Yang terpenting, selalu browsing internet dengan aman. (*)

Komentar

Berita Terbaru