PETYA: LEBIH GANAS DARI RANSOMWARE

• Berbeda dengan WannaCry yang bisa menyebar melalui internet, penyebaran Petya “cuma” bisa di jaringan intranet
• Karena memanfaatkan network tools di Windows, Petya bisa menginfeksi komputer Windows yang sudah melakukan update
• Meski memiliki perilaku seperti ransomware, Petya lebih mirip seperti wiper yang bertujuan menghapus data dari komputer korban

Lagi-lagi, ancaman security kelas tinggi mengintai perusahaan. Adalah Petya, sejenis ransomware yang berhasil melumpuhkan operasional dari pemerintahan dan berbagai perusahaan besar. Sebut saja perusahaan periklanan WPP, perusahaan farmasi Merck, perusahaan transportasi Maersk, sampai bank sentral Ukraina. Bahkan sistem pengawasan radiasi kawasan reaktor nuklir Chernobyl harus dinonaktifkan akibat serangan Petya ini.

Dari sisi terminologi, penamaan “Petya” ini sebenarnya kurang tepat. Pasalnya, Petya adalah nama ransomware yang telah beredar sejak beberapa bulan lalu. Versi yang baru ini memang memiliki kemiripan dengan Petya versi lama, namun itu hanya di permukaannya saja. Ketika diteliti lebih jauh, Petya versi baru ini memiliki algoritma yang jauh lebih kompleks dan memiliki perbedaan signifikan dibanding versi lama.

Petya versi baru ini awalnya terdeteksi di Ukraina melalui “update palsu” MeDoc, sebuah adalah aplikasi akuntansi. Karena aplikasi ini banyak digunakan di pemerintahan Ukraina, Petya pun dengan cepat menyebar di banyak perusahaan di sana (60% korban Petya berada di Ukraina).

Mirip seperti WannaCry, Petya ini memanfaatkan lubang keamanan EternalBlue di sistem operasi Windows. Namun berbeda dengan WannaCry, Petya tidak dirancang untuk menyebar melalui internet. Penyebaran Petya hanya dilakukan pada jaringan internal (intranet). Ketika salah satu komputer di jaringan terinfeksi, Petya akan memanfaatkan networking tools di Windows seperti Windows Management Instrumentation (WMI) dan PsExec untuk menginfeksi komputer lain dalam jaringan yang sama.

Karena menggunakan WMI dan PsExec ini, Petya bisa menginfeksi komputer Windows yang berada di dalam jaringan, bahkan yang sudah melakukan update maupun Windows 10. Seluruh harddisk akan dikunci dan hanya bisa dibuka jika korban membayar uang sejumlah US$300 dalam bentuk bitcoin.

Akan tetapi, banyak keanehan dari serangan Petya ini. Contohnya adalah penyebarannya yang sebatas di jaringan intranet; tidak seperti WannaCry yang bisa menyebar melalui internet. Hal ini membuat penyebaran Petya relatif lebih kecil dibanding WannaCry atau ransomware yang lain.

Keanehan lain adalah pada media kontak dengan penyerang. Pembuat Petya cuma menampilkan sebuah alamat email untuk konfirmasi pembayaran uang tebusan. Ketika alamat email tersebut mengemuka, email ini pun langsung dibekukan oleh penyedia layanan email bersangkutan. Artinya meskipun korban telah membayar uang tebusan, pembuat Petya tidak bisa menerima email konfirmasi, apalagi mengirimkan “kunci” untuk membuka harddisk yang telah dienkripsi tersebut.

Karena itulah, muncul dugaan Petya sebenarnya sebuah serangan tingkat tinggi terhadap sebuah negara (dalam hal ini Ukraina). Kalaupun muncul sebagai ransomware, itu hanyalah usaha dari pembuat Petya untuk menutupi jejaknya. Tujuan utama Petya adalah menghapus data dari komputer yang berhasil ia infeksi.

Dugaan ini memang sulit dibuktikan mengingat tidak adanya petunjuk pasti ke arah sana. Namun kasus Petya ini kembali menunjukkan, ancaman security kini semakin canggih dan kompleks. Insiden Petya menunjukkan, PC yang sudah melakukan update rutin sekalipun masih bisa ditembus software jahat ini.

Jika ingin perusahaan Anda selalu siap menghadapi serangan malware, Indosat Ooredoo Business dapat membantu Anda. Melalui layanan managed security, Indosat Ooredoo Business akan memantau setiap pergerakan mencurigakan di dalam jaringan intranet maupun internet perusahaan selama 24/7/365.