Sebuah wabah malware yang baru
Hanya bulan lalu, WannaCry menjadi berita utama seluruh dunia setelah berhasil menginfeksi komputer lebih dari 200 000 di lebih dari 150 negara yang menggunakan kerentanan di Windows. Dalam beberapa hari terakhir, kita melihat lain meluasnya serangan yang pertama itu diyakini sebagai wabah ransomware. Ini memiliki berbagai nama yang berbeda tetapi paling sering disebut sebagai Petya or NotPetya.
Petya juga dikenal ransomware yang telah sekitar untuk sementara waktu tetapi pengembang telah menyangkal keterlibatan dalam serangan baru ini, maka mengapa itu disebut NotPetya oleh beberapa. Pada pandangan pertama, ia bertindak seperti ransomware khas, mengenkripsi file dan kemudian meminta bahwa korban membayar untuk memulihkan mereka. Setelah penyelidikan lebih lanjut, kenyataannya sangat berbeda. Para peneliti telah sampai pada kesimpulan bahwa NotPetya adalah tidak benar-benar ransomware tapi agak wiper malware. Apa yang mereka sarankan tidak dimaksudkan untuk menghasilkan uang, hal ini dimaksudkan untuk menghancurkan sistem.
Perusahaan Ukraina diyakini telah nol
Para peneliti di berbagai perusahaan keamanan percaya bahwa vendor perangkat lunak akuntansi yang berbasis di Ukraina, M.E.Doc, secara tidak sengaja telah menyebar malware yang mengarah ke infeksi ribuan komputer. Meskipun perusahaan itu sendiri telah menyangkal hal ini, malware spesialis percaya bahwa perusahaan hack dan server yang dikompromi. Para hacker merilis update perangkat lunak berbahaya dan pelanggan yang diinstal itu akhirnya menginfeksi komputer mereka dengan NotPetya. Malware kemudian memperoleh kredensial Jaringan lokal dan dengan menggunakan alat tertentu, berhasil menyebar ke komputer pada jaringan yang sama. Juga telah dilaporkan bahwa mengeksploitasi digunakan oleh WannaCry, EternalBlue, bersama-sama dengan Eternalromance yang digunakan dalam serangan ini juga. Kabar baiknya adalah bahwa hal itu tidak menyebar melalui Internet, hanya melalui LAN. Ini, namun, menimbulkan pertanyaan tentang bagaimana malware berhasil menyebar ke negara-negara lain, di mana perusahaan yang terinfeksi telah ada kontak dengan M.E.Doc.
Bagaimana NotPetya bekerja?
Seperti ransomware Petya yang asli, NotPetya tidak mengenkripsi file satu setelah yang lain. Apa yang dilakukan adalah reboot komputer dan mengenkripsi harddisk master file tabel (alat) dan membuat master boot record (MBR) tidak dapat berfungsi dengan baik. Petya menggantikan salinan MBR dienkripsi dengan kode berbahaya dan komputer Anda tidak dapat boot. Sebaliknya, ini akan menampilkan catatan tebusan. Ini adalah mana NotPetya berbeda dari Petya. Comae teknologi peneliti Matt Suiche, menyatakan bahwa ransomware Petya asli mengenkripsi disk dalam cara sehingga ia bisa membalikkan perubahan jika diperlukan. NotPetya, di sisi lain, melakukan kerusakan permanen dan ireversibel ke disk.
Spesialis berpikir NotPetya tidak dimaksudkan untuk menghasilkan uang, hal ini dimaksudkan untuk menghancurkan
Setelah seluruh proses selesai, komputer yang terinfeksi akan menunjukkan catatan tebusan. Pesan yang menyatakan bahwa file telah dienkripsi dan bahwa Anda harus membayar senilai $300 Bitcoin ke alamat disediakan. Ketika korban membayar tebusan, mereka seharusnya untuk mengirim mereka pembayaran ID dan kunci instalasi pribadi, yang disediakan dalam catatan, ke wowsmith123456@posteo.net. Namun, penyedia email Jerman telah membuat keputusan untuk menutup account ini, yang berarti bahwa Anda tidak bisa mendapatkan kontak dengan para hacker. Bahkan jika Anda membayar, penjahat akan tidak punya cara untuk mengetahui yang dibayar.
Ini bukanlah satu-satunya alasan mengapa Anda tidak harus membayar. Penyelidikan lebih lanjut ke malware telah menemukan bahwa orang-orang di belakang serangan tidak punya niat untuk memulihkan file. Hanya sangat tidak mungkin. Disebutkan di atas instalasi kunci ID adalah bagian penting dari proses dekripsi. Ini menyimpan informasi tentang korban dan kunci dekripsi. ID instalasi yang Anda lihat dalam catatan tebusan adalah data hanya acak, yang menunjukkan bahwa NotPetya tidak dimaksudkan untuk menghasilkan uang.
Peneliti malware yang sekarang mengkategorikan NotPetya bukan sebagai ransomware tetapi sebagai wiper yang pada dasarnya menghancurkan file Anda dengan tidak ada cara untuk memulihkan mereka. Sementara itu tidak benar-benar menghapus file pada sistem, setelah file Anda akan dienkripsi, tidak ada cara untuk mendekripsi mereka, yang membuat mereka berguna. Dan hal ini diduga menjadi disengaja. Berarti bahwa pergi ke ini, pengembang di belakang infeksi yang tidak bertujuan untuk mendapatkan uang.
Ukraina tampaknya memiliki jumlah yang terbesar daripada korban. Itu telah dilaporkan bahwa pemerintah organisasi pelaksana Chernobyl zona bencana harus beralih ke manual radiasi pemantauan karena mereka harus menutup semua komputer Windows. Perusahaan-perusahaan energi utama Ukraina tampaknya juga telah terpengaruh. Melihat seperti Ukraina mengambil yang paling terpukul dan fakta bahwa segala sesuatu mulai ada, diyakini negara itu sasaran yang dimaksud dalam apa yang beberapa percaya telah serangan negara bangsa.
Apa yang Anda bisa lakukan untuk mencegah bencana hasil?
Cadangan. Jika serangan WannaCry telah mengajarkan pengguna individu dan bisnis sesuatu, itu adalah pentingnya memiliki cadangan. Berhubung ada cara mendekripsi file, bahkan jika Anda membayar, satu-satunya yang bisa menyelamatkan Anda banyak masalah adalah file disimpan di tempat lain. Kita hidup di dunia di mana malware bersembunyi di setiap sudut di Internet tetapi orang-orang yang jauh dari keamanan berhati-hati. Ini terbukti setiap hari ketika pengguna melaporkan bahwa file telah dienkripsi dan ada tidak ada cadangan.
Ancaman cyber nyata. Tak peduli siapa target utama serangan itu, penting untuk memahami bahwa ini bukanlah sesuatu yang tidak terjadi pada Anda dan oleh karena itu Anda tidak perlu berhati-hati. Dan sampai orang menyadari bahwa dan memastikan bahwa mereka melakukan segala sesuatu yang mereka bisa untuk melindungi diri mereka sendiri, itu hanya akan semakin buruk.
Referensi