Serangan perangkat pemeras WannaCry

Serangan perangkat pemeras WannaCry adalah sebuah perangkat tebusan. Pada Mei 2017, serangan siber skala besar menggunakan perangkat ini diluncurkan, menginfeksi lebih dari 75.000 komputer di 99 negara, menuntut pembayaran tebusan dalam 20 bahasa.

Serangan perangkat pemeras WannaCry

Tanggal	12 Mei 2017 (2017-05-12) – 15 Mei 2017 (2017-5-15)
Lokasi	Seluruh dunia
Nama lain	WannaCrypt, WanaCrypt0r, WCRY
Jenis	Serangan siber dengan perangkat tebusan
Tema	Perangkat pemeras mengenkripsi diska keras dengan permintaan $300 – $600
Penyebab	Eksploitasi EternalBlue
Peserta/Pihak terlibat	Tidak diketahui
Hasil	Lebih dari 200.000 korban dan lebih dari 230.000 komputer terinfeksi[1][2]

Serangan ini mengenai Telefónica dan beberapa perusahaan besar lainnya di Spanyol, serta sebagai dari National Health Service (NHS),^[3] FedEx dan Deutsche Bahn.^[4][5][6] Sasaran lain di setidaknya 99 negara juga melaporkan penyerangan sekitar waktu yang sama.^[7][8] Lebih dari 1.000 komputer di Kementerian Urusan Dalam Negeri Rusia, Kementerian Darurat Rusia dan perusahaan telekomunikasi Rusia MegaFon, telah dilaporkan terinfeksi.^[9]

WannaCry diyakini menggunakan exploit EternalBlue, diduga dikembangkan oleh Badan Keamanan Nasional Amerika Serikat untuk menyerang komputer yang menjalankan sistem operasi Microsoft Windows.^[10] Meskipun tambalan untuk mengatasi kerentanan ini telah dikeluarkan pada tanggal 14 Maret 2017, keterlambatan dalam penerapan pembaruan keamanan membuat beberapa pengguna dan organisasi tetap dalam kondisi rentan. Di Indonesia, perangkat ini menyerang sejumlah komputer di berbagai rumah sakit umum dengan permintaan uang tebusan Rp 4.000.000 untuk mengembalikan komputer ke sediakala. ^[11]

Latar belakang

Vektor infeksi yang diklaim, EternalBlue, dirilis oleh kelompok peretas The Shadow Brokers pada tanggal 14 April 2017^[12][13] bersama dengan alat lain yang tampaknya bocor dari Equation Group, diyakini merupakan bagian dari Badan Keamanan Nasional Amerika Serikat.

EternalBlue memanfaatkan kerentanan MS17-010^[14] dalam implementasi protokol Server Message Block (SMB) Microsoft. Microsoft telah merilis sebuah "critical" advisory, bersamaan dengan pembaruan tambalan untuk mengatasi kerentanan sebulan sebelumnya, pada tanggal 14 Maret 2017.^[14] Tambalan ini memperbaiki beberapa versi workstation dari sistem operasi Microsoft Windows, termasuk Windows Vista dan Windows 8.1, serta versi server dan embedded seperti Windows Server 2008 dan Windows Embedded POSReady 2009, namun bukan Windows XP yang lebih tua, menurut Microsoft.^[14]

Mulai 21 April 2017, periset keamanan mulai melaporkan bahwa komputer dengan backdoor DoublePulsar terpasang berada di puluhan ribu.^[15] Pada 25 April, laporan memperkirakan jumlah komputer yang terinfeksi bisa mencapai beberapa ratus ribu, dengan jumlah bervariasi antara 55.000 sampai hampir 200.000, tumbuh setiap hari.^[16][17]

Serangan siber

 

Negara awalnya terpengaruh^[18]

Pada tanggal 12 Mei 2017, WannaCry mulai mempengaruhi komputer di seluruh dunia.^[19] Infeksi awal mungkin disebabkan oleh kerentanan pertahanan jaringan atau serangan pengelabuan tombak yang sangat bagus.^[20] Saat dieksekusi, malware pertama kali memeriksa "kill switch" nama domain. Jika tidak ditemukan, maka ransomware mengenkripsi data komputer,^[21][22][23] kemudian mencoba untuk memanfaatkan kerentanan SMB untuk menyebar ke komputer acak di Internet,^[24] dan "lateral" ke komputer pada Jaringan area lokal yang sama.^[25] Seperti pada perangkat pemeras modern lainnya, muatan menampilkan pesan yang menginformasikan pengguna bahwa file telah dienkripsi, dan menuntut pembayaran sekitar $300 dalam bitcoin dalam tiga hari atau $600 dalam waktu tujuh hari.^[22][26]

Kerentanan Windows bukanlah cacat zero-day, tapi satu di antaranya Microsoft menyediakan tambalan keamanan pada tanggal 14 Maret 2017,^[14] Hampir dua bulan sebelum serangan. Tambalan ke protokol Server Message Block (SMB) yang digunakan oleh Windows.^[27][28] Organisasi yang kekurangan tambalan keamanan ini terpengaruh karena alasan ini, walaupun sejauh ini tidak ada bukti bahwa ada yang secara khusus ditargetkan oleh pengembang perangkat pemeras.^[27] Setiap organisasi masih menjalankan Windows XP lama^[29] sangat berisiko tinggi karena sampai 13 Mei,^[30] tidak ada tambalan keamanan yang telah dirilis sejak April 2014.^[31] Setelah serangan tersebut, Microsoft merilis tambalan keamanan untuk Windows XP.^[30]

Menurut Wired, sistem yang terkena dampak juga akan dipasang backdoor DoublePulsar; Ini juga perlu dihapus saat sistem didekripsi.^[32]

Menurut laporan, tiga atau lebih alamat kode keras bitcoin, atau "dompet", digunakan untuk menerima korban pembayaran. Seperti semua dompet itu, transaksi dan saldo mereka bisa diakses publik bukan pemilik dompetnya. Untuk melacak pembayaran tebusan secara waktu, sebenarnya Twitterbot yang mengawasi masing-masing dari ketiga dompet ini telah disiapkan.^[33] Pada 14 Mei 2017 total $33.319,59 telah dibayarkan.

Varian

Pada tanggal 14 Mei, dua varian tambahan terdeteksi. Salah satu varian ini memiliki kill switch baru yang segera terdaftar, sementara yang lainnya tidak memiliki kill switch namun memiliki muatan rusak yang mencegah enkripsi berkas.^[34]

Dampak

Kampanye uang tebusan belum pernah terjadi sebelumnya menurut skala Europol.^[35] Serangan tersebut mempengaruhi banyak rumah sakit Dinas Kesehatan di Inggris dan Skotlandia,^[36] dan sampai 70.000 perangkat — termasuk komputer, pemindai MRI, lemari es penyimpanan darah dan peralatan teater — mungkin telah terpengaruh.^[37] Pada tanggal 12 Mei, beberapa layanan NHS harus mematikan keadaan darurat yang tidak penting, dan beberapa ambulans dialihkan.^[4][38] Pada tahun 2016, ribuan komputer di 42 kepercayaan NHS terpisah di Inggris dilaporkan masih menjalankan Windows XP.^[29] Rumah sakit NHS di Wales dan Irlandia Utara tidak terpengaruh oleh serangan tersebut.^[39][4]

Nissan Motor Manufacturing UK di Tyne and Wear, salah satu pabrik manufaktur mobil paling produktif di Eropa, menghentikan produksi setelah perangkat pemeras menginfeksi beberapa sistem mereka. Renault juga menghentikan produksi di beberapa lokasi dalam upaya menghentikan penyebaran perangkat pemeras tersebut.^[40][41]

Dampak serangan bisa jadi jauh lebih buruk jika tidak ada kill-switch yang dibangun oleh pencipta malware tersebut.^[42][43]

Ahli keamanan Cybersecurity Ori Eisen mengatakan bahwa serangan tersebut tampaknya merupakan barang "tingkat rendah", dengan tuntutan uang tebusan sebesar $300 dan menyatakan bahwa hal yang sama dapat dilakukan pada infrastruktur penting, seperti pembangkit tenaga nuklir, bendungan atau sistem kereta api.^[44]

Microsoft juga telah merilis tambalan untuk memperbaiki eksploitasi yang digunakan oleh perangkat pemeras pada sistem operasi Windows XP, tandingan 64-bit, Windows Server 2003, dan Windows 8, meskipun semuanya tidak didukung selama masa itu.

Daftar organisasi yang terkena dampak

Dalam urutan abjad:

• Andhra Pradesh Police, India^[45]
• Automobile Dacia^[46]
• Cambrian College, Kanada^[47]
• Chinese public security bureau^[48]
• CJ CGV^[49]
• Deutsche Bahn^[50]
• Faculty Hospital, Nitra, Slovenia^[51]
• FedEx^[52]
• Garena Blade and Soul^[53]
• Hitachi^[54]
• Instituto Nacional de Salud, Kolombia^[55]
• Kementerian Dalam Negeri Federasi Rusia^[56]
• Kementerian Luar Negeri (Rumania)^[57]
• Lakeridge Health^[58]
• LATAM Airlines Group^[59]
• MegaFon^[60]
• National Health Service (England)^[61][4][39]
• NHS Scotland^[4][39]
• Nissan Motor Manufacturing UK^[61]
• Pemerintah Negara Bagian India
  • Pemerintah Gujarat^[62]
  • Pemerintah Kerala^[62]
  • Pemerintah Maharashtra^[63]
  • Pemerintah Benggala Barat^[62]
• PetroChina^[8][48]
• Portugal Telecom^[64]
• Q-Park^[65]
• Renault^[66]
• Rumah Sakit Dharmais, Indonesia^[67]
• Rumah Sakit Harapan Kita, Indonesia^[67]
• Russian Railways^[68]
• Sandvik^[67]
• São Paulo Court of Justice^[69]
• Saudi Telecom Company^[70]
• Sberbank^[71]
• Sun Yat-sen University, Tiongkok^[67]
• Telefónica^[72]
• Telenor Hungary^[73]
• Timrå Municipality, Swedia^[74]
• Universitas Jember, Indonesia^[75]
• University of Milano-Bicocca, Italia^[76]
• University of Montréal, Kanada^[77]
• Vivo^[69]

Referensi

1. "Ransomware attack still looms in Australia as Government warns WannaCry threat not over". Diakses tanggal 15 May 2017. 
2. Cameron, Dell. "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Diakses tanggal 13 May 2017. 
3. Marsh, Sarah (12 May 2017). "The NHS trusts hit by malware – full list". Diakses tanggal 12 May 2017. 
4. "NHS cyber-attack: GPs and hospitals hit by ransomware". BBC News (dalam bahasa Inggris). 2017-05-12. Diakses tanggal 2017-05-12.  CS1 maint: Unrecognized language (link)
5. Hern, Alex; Gibbs, Samuel (2017-05-12). "What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?". The Guardian (dalam bahasa Inggris). ISSN 0261-3077. Diakses tanggal 2017-05-12.  CS1 maint: Unrecognized language (link)
6. "Statement on reported NHS cyber attack". digital.nhs.uk (dalam bahasa Inggris). Diakses tanggal 2017-05-12.  CS1 maint: Unrecognized language (link)
7. Cox, Joseph (2017-05-12). "A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World". Motherboard (dalam bahasa Inggris). Diakses tanggal 2017-05-12.  CS1 maint: Unrecognized language (link)
8. Larson, Selena (2017-05-12). "Massive ransomware attack hits 99 countries". CNN. Diakses tanggal 2017-05-12. 
9. "Ransomware virus plagues 75k computers across 99 countries". RT International (dalam bahasa Inggris). Diakses tanggal 2017-05-12. 
10. Larson, Selena (2017-05-12). "Massive ransomware attack hits 74 countries". CNNMoney. Diakses tanggal 2017-05-12. 
11. 15:58, 12 May 2017 at; tweet_btn(), John Leyden. "WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain". theregister.co.uk. Diakses tanggal 12 May 2017. 
12. Menn, Joseph (17 February 2015). "Russian researchers expose breakthrough U.S. spying program". Reuters. Diarsipkan dari versi asli tanggal 2015-09-24. Diakses tanggal 24 November 2015. 
13. "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Ars Technica (dalam bahasa Inggris). Diakses tanggal 15 April 2017. 
14. "Microsoft Security Bulletin MS17-010 – Critical". technet.microsoft.com. Diakses tanggal 13 May 2017. 
15. Goodin, Dan. ">10,000 Windows computers may be infected by advanced NSA backdoor". ARS Technica (dalam bahasa Inggris). Diakses tanggal 2017-05-14. 
16. Goodin, Dan. "NSA backdoor detected on >55,000 Windows boxes can now be remotely removed". ARS Technica (dalam bahasa Inggris). Diakses tanggal 2017-05-14. 
17. Broersma, Matthew. "NSA Malware 'Infects Nearly 200,000 Systems'". Silicon (dalam bahasa Inggris). Diakses tanggal 2017-05-14. 
18. "Cyber-attack: Europol says it was unprecedented in scale". 13 May 2017 – via www.bbc.com. 
19. Newman, Lily Hay. "The Ransomware Meltdown Experts Warned About Is Here". Wired.com. Diakses tanggal 13 May 2017. 
20. Goodin, Dan. "An NSA-derived ransomware worm is shutting down computers worldwide". ARS Technica (dalam bahasa Inggris). Diakses tanggal 2017-05-14. 
21. "Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency". The Telegraph (dalam bahasa Inggris). Diakses tanggal 12 May 2017. 
22. "What you need to know about the WannaCry Ransomware". Symantec Security Response. Diakses tanggal 14 May 2017. 
23. Bilefsky, Dan; Perlroth, Nicole (12 May 2017). "Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool". The New York Times. ISSN 0362-4331. Diakses tanggal 12 May 2017. 
24. Clark, Zammis. "The worm that spreads WanaCrypt0r". Malwarebytes Labs. malwarebytes.com. Diakses tanggal 13 May 2017. 
25. Samani, Raj. "An Analysis of the WANNACRY Ransomware outbreak". McAfee. Diarsipkan dari versi asli tanggal 2017-05-13. Diakses tanggal 13 May 2017. 
26. Thomas, Andrea; Grove, Thomas; Gross, Jenny (2017-05-13). "More Cyberattack Victims Emerge as Agencies Search for Clues". Wall Street Journal. ISSN 0099-9660. Diakses tanggal 2017-05-14. 
27. "WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit". eWeek. Diakses tanggal 13 May 2017. 
28. "WannaCry: BSI ruft Betroffene auf, Infektionen zu melden" (dalam bahasa Jerman). heise online. Diakses tanggal 14 May 2017. 
29. "NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP". Motherboard. Diakses tanggal 13 May 2017. 
30. Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama microsoftreleases
31. "Windows XP End of Support". www.microsoft.com. Diakses tanggal 13 May 2017. 
32. Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama auto
33. Collins, Keith. "Watch as these bitcoin wallets receive ransomware payments from the global cyberattack". Quartz. Diakses tanggal 14 May 2017. 
34. "WannaCry — New Variants Detected!". blog.comae.io. Diarsipkan dari versi asli tanggal 2017-05-15. Diakses tanggal 2017-05-16. 
35. Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama :3
36. "Global cyberattack strikes dozens of countries, cripples U.K. hospitals". cbsnews.com. Diakses tanggal 13 May 2017. 
37. Ungoed-Thomas, Jon; Henry, Robin; Gadher, Dipesh (14 May 2017). "Cyber-attack guides promoted on YouTube". The Sunday Times. Diakses tanggal 14 May 2017. 
38. Wong, Julia Carrie; Solon, Olivia (12 May 2017). "Massive ransomware cyber-attack hits 74 countries around the world". The Guardian. London. Diakses tanggal 12 May 2017. 
39. Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama guardian-nhs
40. Sharman, Jon (13 May 2017). "Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France". www.independent.co.uk. Diakses tanggal 13 May 2017. 
41. Rosemain, Mathieu; Le Guernigou, Yann; Davey, James (13 May 2017). "Renault stops production at several plants after ransomware cyber attack as Nissan also hacked". www.mirror.co.uk. Diakses tanggal 13 May 2017. 
42. "Lucky break slows global cyberattack; what's coming could be worse". Diakses tanggal 14 May 2017. 
43. Helmore, Edward (13 May 2017). "Ransomware attack reveals breakdown in US intelligence protocols, expert says". The Guardian. Diakses tanggal 14 May 2017. 
44. "The Latest: Researcher who helped halt cyberattack applauded". Star Tribune. Diarsipkan dari versi asli tanggal 2017-05-16. Diakses tanggal 14 May 2017. 
45. "Andhra police computers hit by cyberattack". The Times of India (dalam bahasa Inggris). 13 May 2017. Diakses tanggal 13 May 2017. 
46. "Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța". Pro TV (dalam bahasa Rumania). 13 May 2017. 
47. "Hackers demand $54K in Cambrian College ransomware attack". CBC.ca. Diakses tanggal 16 May 2017. 
48. Mimi Lau (14 May 2017). "Chinese police and petrol stations hit by ransomware attack". South China Morning Post (dalam bahasa Inggris). Diakses tanggal 15 May 2017. 
49. "Korean gov't computers safe from WannaCry attack". The Korea Herald. Diakses tanggal 15 May 2017. 
50. "Weltweite Cyberattacke trifft Computer der Deutschen Bahn". Frankfurter Allgemeine Zeitung (dalam bahasa Jerman). 13 May 2017. Diakses tanggal 13 May 2017. 
51. "Hackerský útok zasiahol aj Fakultnú nemocnicu v Nitre". etrend.sk (dalam bahasa Slovak). 15 May 2017. Diakses tanggal 15 May 2017. 
52. "What is Wannacry and how can it be stopped?". Financial Times (dalam bahasa Inggris). 12 May 2017. Diakses tanggal 13 May 2017. 
53. "เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี" (dalam bahasa Thai). blognone.com. 13 May 2017. Diakses tanggal 14 May 2017. 
54. "日立製作所 サイバー攻撃で社内システム一部に障害". NHK News Web (dalam bahasa Jepang). 15 May 2017. Diarsipkan dari versi asli tanggal 2017-05-16. Diakses tanggal 15 May 2017. 
55. "Instituto Nacional de Salud, entre víctimas de ciberataque mundial". El Tiempo (dalam bahasa Spanish). 13 May 2017. Pemeliharaan CS1: Bahasa yang tidak diketahui (link)
56. "Researcher 'accidentally' stops spread of unprecedented global cyberattack". ABC News. Diakses tanggal 13 May 2017. 
57. "UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO". Libertatea (dalam bahasa Rumania). 12 May 2017. 
58. "Ontario health ministry on high alert amid global cyberattack". Toronto Star. 
59. "LATAM Airlines también está alerta por ataque informático". Fayerwayer. Diakses tanggal 13 May 2017. 
60. "Massive cyber attack creates chaos around the world". news.com.au. Diakses tanggal 13 May 2017. 
61. "Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France". The Independent (dalam bahasa Inggris). 13 May 2017. Diakses tanggal 13 May 2017. 
62. "Ransomware WannaCry Surfaces In Kerala, Bengal: 10 Facts". New Delhi Television Limited (NDTV). Diakses tanggal 15 May 2017. 
63. Sanjana Nambiar (16 May 2017). "Hit by WannaCry ransomware, civic body in Mumbai suburb to take 3 more days to fix computers". Hindustn Times (dalam bahasa Inggris). Diakses tanggal 17 May 2017. 
64. "PT Portugal alvo de ataque informático internacional". Observador (dalam bahasa Portugis). 12 May 2017. Diakses tanggal 13 May 2017. 
65. "Parkeerbedrijf Q-Park getroffen door ransomware-aanval". Nu.nl (dalam bahasa Belanda). 13 May 2017. Diakses tanggal 14 May 2017. 
66. "France's Renault hit in worldwide 'ransomware' cyber attack" (dalam bahasa Spanyol). France 24. 13 May 2017. Diakses tanggal 13 May 2017. 
67. "Global cyber attack: A look at some prominent victims" (dalam bahasa Spanyol). elperiodico.com. 13 May 2017. Diakses tanggal 14 May 2017. 
68. "Компьютеры РЖД подверглись хакерской атаке и заражены вирусом". Radio Free Europe/Radio Liberty. Diakses tanggal 13 May 2017. 
69. "WannaCry no Brasil e no mundo". O Povo (dalam bahasa Portugis). 13 May 2017. Diakses tanggal 13 May 2017. 
70. Amjad Shacker [@AmjadShacker] (14 May 2017). "⁥⁥" (Tweet) – via Twitter. 
71. Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama vidal
72. "Un ataque informático masivo con 'ransomware' afecta a medio mundo" (dalam bahasa Spanyol). elperiodico.com. 12 May 2017. Diakses tanggal 13 May 2017. 
73. Balogh, Csaba (12 May 2017). "Ideért a baj: Magyarországra is elért az óriási kibertámadás". HVG (dalam bahasa Hungarian). Diakses tanggal 13 May 2017. Pemeliharaan CS1: Bahasa yang tidak diketahui (link)
74. "Timrå kommun drabbat av utpressningsattack" (dalam bahasa Swedia). Sveriges Television. 13 May 2017. Diakses tanggal 15 May 2017. 
75. Baiduri, MC Nieke Indrietta, ed. (16 May 2017). "Virus Ransomware WannaCry Serang Perpustakaan Universitas Jember". Tempo.co. Diakses tanggal 17 May 2017. 
76. "Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca". la Repubblica (dalam bahasa Italia). 12 May 2017. Diakses tanggal 13 May 2017. 
77. "Some University of Montreal computers hit with WannaCry virus". The Globe and Mail. May 16, 2017. Diakses tanggal 16 May 2017.