Serangan ini meresahkan karena ini adalah serangan ransomware besar kedua dalam dua bulan, yang telah mempengaruhi perusahaan di seluruh dunia. Anda mungkin ingat bahwa pada bulan Mei, National Health Service, NHS, di Inggris, terinfeksi oleh malware bernama WannaCry. Program ini mempengaruhi NHS dan banyak organisasi lain di seluruh dunia. WannaCry pertama kali diungkapkan kepada publik ketika dokumen yang bocor terkait dengan NHS dirilis online oleh para hacker yang dikenal sebagai Shadow Brokers pada bulan April.
Perangkat lunak WannaCry, juga disebut WannaCrypt, mempengaruhi lebih dari 230.000 komputer, yang terletak di lebih dari 150 negara di seluruh dunia. Selain NHS, Telefonica, perusahaan telepon Spanyol, dan kereta api negara di Jerman juga diserang.
Mirip dengan WannaCry, "Petya" dengan cepat menyebar ke seluruh jaringan yang menggunakan Microsoft Windows. Pertanyaannya adalah, apakah itu? Kami juga ingin tahu mengapa itu terjadi dan bagaimana itu bisa dihentikan.
Apa itu Ransomware?
Hal pertama yang harus Anda pahami adalah definisi ransomware . Pada dasarnya, ransomware adalah jenis malware yang berfungsi untuk memblokir akses Anda ke komputer atau data. Kemudian, ketika Anda mencoba mengakses komputer itu atau data di dalamnya, Anda tidak bisa mendapatkannya kecuali Anda membayar tebusan. Cukup jahat, dan benar-benar jahat!
Bagaimana Cara Kerja Ransomware?
Penting juga untuk memahami cara kerja ransomware. Ketika komputer terinfeksi oleh ransomware, itu menjadi terenkripsi. Ini berarti dokumen di komputer Anda kemudian dikunci, dan Anda tidak dapat membukanya tanpa membayar tebusan. Untuk lebih mempersulit hal-hal, tebusan harus dibayar dalam Bitcoin, bukan uang tunai, untuk kunci digital yang dapat Anda gunakan untuk membuka kunci file. Jika Anda tidak memiliki cadangan file Anda, Anda memiliki dua pilihan: Anda dapat membayar uang tebusan, yang biasanya beberapa ratus dolar hingga beberapa ribu dolar, atau Anda kehilangan akses ke semua file Anda.
Bagaimana Cara Kerja Ransomware “Petya”?
Ransomware "Petya" bekerja seperti kebanyakan ransomware. Ini mengambil alih komputer, dan kemudian meminta $ 300 dalam Bitcoin. Ini adalah perangkat lunak berbahaya yang menyebar cepat di seluruh jaringan atau organisasi setelah satu komputer terinfeksi. Perangkat lunak khusus ini menggunakan kerentanan EternalBlue, yang merupakan bagian dari Microsoft Windows. Meskipun Microsoft telah merilis patch untuk kerentanan, tidak semua orang menginstalnya. Ransomware juga berpotensi menyebar melalui alat administratif Windows, yang dapat diakses jika tidak ada kata sandi di komputer. Jika malware tidak bisa masuk dengan satu cara, ia secara otomatis mencoba yang lain, yang cara penyebarannya sangat cepat di antara organisasi-organisasi ini.
Dengan demikian, "Petya" menyebar jauh lebih mudah daripada WannaCry, menurut pakar keamanan cyber.
Adakah Cara untuk Melindungi Diri dari “Petya?”
Anda mungkin bertanya-tanya pada titik ini jika ada cara untuk melindungi diri Anda dari "Petya." Sebagian besar perusahaan antivirus telah mengklaim bahwa mereka telah memperbarui perangkat lunak mereka untuk membantu tidak hanya mendeteksi, tetapi untuk melindungi terhadap infeksi malware "Petya". Sebagai contoh, perangkat lunak Symantec menawarkan perlindungan dari "Petya," dan Kaspersky telah memperbarui semua perangkat lunaknya untuk membantu pelanggan melindungi diri dari malware. Di atas ini, Anda dapat melindungi diri Anda dengan menjaga Windows diperbarui. Jika Anda tidak melakukan hal lain, setidaknya menginstal patch kritis yang dirilis Windows pada bulan Maret, yang membela terhadap kerentanan EternalBlue ini. Ini menghentikan salah satu cara utama untuk menjadi terinfeksi, dan itu juga melindungi terhadap serangan di masa depan.
Garis pertahanan lain untuk wabah malware "Petya" juga tersedia, dan itu baru saja ditemukan. Malware memeriksa drive C: \ untuk file read-only bernama perfc.dat. Jika malware menemukan file ini, ia tidak menjalankan enkripsi. Namun, meskipun Anda memiliki file ini, itu sebenarnya tidak mencegah infeksi malware. Itu masih bisa menyebarkan malware ke komputer lain di jaringan bahkan jika pengguna tidak menyadarinya di komputer mereka.
Mengapa Malware Ini Disebut "Petya?"
Anda mungkin juga bertanya-tanya mengapa malware ini diberi nama “Petya.” Sebenarnya, itu tidak secara teknis disebut “Petya.” Sebaliknya, tampaknya berbagi banyak kode dengan sepotong ransomware tua yang disebut “Petya.” Dalam beberapa jam Setelah wabah awal, para ahli keamanan mencatat bahwa kedua ransomwares itu tidak sama seperti yang dipikirkan pertama kali. Jadi, para peneliti di Kaspersky Lab mulai mengacu pada malware sebagai "NotPetya," (itu asli!) Serta nama-nama lain termasuk "Petna" dan "Pneytna." Selain itu, peneliti lain menyebut program nama lain termasuk "Goldeneye," yang Bitdefender, dari Rumania, mulai menyebutnya. Namun, "Petya" sudah terjebak.
Di mana "Petya" Mulai?
Apakah Anda bertanya-tanya dari mana “Petya” dimulai? Tampaknya telah dimulai melalui mekanisme pembaruan dari perangkat lunak yang dibangun ke dalam program akuntansi tertentu. Perusahaan-perusahaan ini bekerja dengan pemerintah Ukraina dan diminta oleh pemerintah untuk menggunakan program khusus ini. Inilah sebabnya mengapa begitu banyak perusahaan di Ukraina telah terpengaruh oleh hal ini. Organisasi tersebut meliputi bank, pemerintah, sistem metro Kiev, bandara Kiev utama, dan utilitas listrik negara.
Sistem yang memonitor tingkat radiasi di Chernobyl juga dipengaruhi oleh ransomware, dan akhirnya diambil offline. Ini memaksa karyawan untuk menggunakan perangkat genggam manual untuk mengukur radiasi di zona pengecualian. Di atas ini, ada gelombang kedua infeksi malware yang dibangkitkan oleh kampanye yang menampilkan lampiran e-mail, yang dipenuhi dengan malware.
Seberapa Jauh Penyebaran Infeksi “Petya”?
Ransomware “Petya” telah menyebar jauh dan luas, dan telah mengganggu bisnis perusahaan baik di AS maupun di Eropa. Misalnya, WPP, sebuah perusahaan periklanan di AS, Saint-Gobain, sebuah perusahaan bahan konstruksi di Prancis, dan perusahaan-perusahaan minyak dan baja Rosneft dan Evraz di Rusia, juga terpengaruh. Perusahaan Pittsburgh, Heritage Valley Health Systems, juga terkena malware “Petya”. Perusahaan ini menjalankan fasilitas rumah sakit dan perawatan di seluruh area Pittsburgh.
Namun, tidak seperti WannaCry, malware "Petya" mencoba menyebar dengan cepat melalui jaringan yang diaksesnya, tetapi tidak mencoba menyebarkan dirinya di luar jaringan. Fakta ini saja sebenarnya telah membantu calon korban malware ini, karena ia telah membatasi penyebarannya. Jadi, tampaknya ada penurunan dalam berapa banyak infeksi baru yang telah terlihat.
Apa Motivasi untuk Penjahat Dunia Maya yang Mengutus “Petya?”
Ketika "Petya" pada awalnya ditemukan, tampaknya wabah malware itu hanyalah sebuah upaya oleh cybercriminal untuk mengambil keuntungan dari senjata cyber online yang bocor. Namun, ketika para profesional keamanan melihat sedikit lebih dekat pada perjangkitan malware "Petya", mereka mengatakan bahwa beberapa mekanisme, seperti cara pembayaran dikumpulkan, cukup amatir, sehingga mereka tidak percaya kejahatan cyber yang serius berada di belakangnya.
Pertama, catatan tebusan yang datang dengan malware "Petya" termasuk alamat pembayaran yang sama persis untuk setiap korban malware. Ini aneh karena pro membuat alamat khusus untuk masing-masing korban mereka. Kedua, program meminta korbannya untuk berkomunikasi langsung dengan penyerang melalui alamat email tertentu, yang segera ditangguhkan ketika ditemukan bahwa alamat email itu digunakan untuk korban "Petya". Ini berarti bahwa bahkan jika seseorang membayar tebusan $ 300, mereka tidak dapat berkomunikasi dengan penyerang, dan lebih jauh lagi, mereka tidak dapat mengakses kunci dekripsi untuk membuka kunci komputer atau file-filenya.
Siapa Penyerang, Lalu?
Pakar keamanan cyber tidak percaya bahwa cybercriminal profesional berada di belakang malware "Petya", jadi siapa? Tidak ada yang tahu pada titik ini, tetapi kemungkinan orang atau orang yang merilisnya ingin malware terlihat seperti ransomware sederhana, tetapi sebaliknya, itu jauh lebih merusak daripada ransomware biasa. Seorang peneliti keamanan, Nicolas Weaver, percaya bahwa "Petya" adalah serangan yang berbahaya, merusak, dan disengaja. Peneliti lain, yang menurut Grugq, percaya bahwa “Petya” yang asli adalah bagian dari organisasi kriminal untuk menghasilkan uang, tetapi “Petya” ini tidak melakukan hal yang sama. Mereka berdua sepakat bahwa malware itu dirancang untuk menyebar dengan cepat dan menyebabkan banyak kerusakan.
Seperti yang kami sebutkan, Ukraina dipukul cukup keras oleh "Petya," dan negara itu telah menunjukkan jari-jarinya di Rusia. Ini tidak mengherankan mengingat Ukraina telah menyalahkan Rusia untuk sejumlah serangan cyber sebelumnya juga. Salah satu dari serangan cyber ini terjadi pada tahun 2015, dan ditujukan untuk jaringan listrik Ukraina. Akhirnya berakhir sementara meninggalkan bagian barat Ukraina tanpa kekuatan apa pun. Rusia, bagaimanapun, membantah terlibat dalam serangan cyber di Ukraina.
Apa yang Harus Anda Lakukan Jika Anda Percaya Anda Adalah Korban Ransomware?
Apakah Anda pikir Anda mungkin menjadi korban serangan ransomware? Serangan khusus ini menginfeksi komputer dan menunggu sekitar satu jam sebelum komputer mulai reboot secara spontan. Jika ini terjadi, segera coba matikan komputer. Ini mungkin mencegah file di komputer tidak dienkripsi. Pada titik itu, Anda dapat mencoba untuk mengambil file dari mesin.
Jika komputer selesai reboot dan tebusan tidak muncul, jangan membayarnya. Ingat, alamat email yang digunakan untuk mengumpulkan informasi dari para korban dan untuk mengirim kunci ditutup. Jadi, sebagai gantinya, putuskan sambungan PC dari internet dan jaringan, format ulang hard drive, dan kemudian gunakan cadangan untuk menginstal ulang file. Pastikan Anda selalu mencadangkan file Anda secara rutin dan selalu perbarui perangkat lunak antivirus Anda.