Setahun setelah serangan WannaCry

JAKARTA (IndoTelko) - Pada 12 Mei 2017, terjadi serangan ransomware terbesar dalam sejarah.

Dikenal sebagai ‘WannaCry’, program jahat yang memanfaatkan exploit EternalBlue menyebar bagai sebuah kebakaran, tanpa pandang bulu ia menginfeksi PC di seluruh dunia, dari komputer pribadi, perusahaan, pemerintahan dan bahkan rumah sakit.

Hampir setahun berlalu, WannaCry masih menyerang dengan kabar terakhir serangan terjadi terhadap produsen pesawat Boeing.

Executive Vice President & General Manager, Consumer, & CTO Avast, Ondrej Vlcek, mengatakan, Avast telah mendeteksi dan memblokir lebih dari 176 juta serangan WannaCry di 217 negara sejak serangan awal tahun lalu dan memblokir 54 juta serangan selama Maret 2018.

Di Indonesia, Avast telah berhasil memblok 17,745,794 serangan WannaCry selama periode 12.5.2017-1.4.2018, kedua terbesar setelah Rusia.  

"Mengingat kehebohan publik yang terjadi ketika ‘wabah’ pecah untuk pertama kalinya, kita akan cenderung berasumsi bahwa pengguna PC pribadi dan perusahaan-perusahaan telah memperbaharui sistem mereka. Sayangnya, data kami menungkap bahwa hampir sepertiga (29%) komputer berbasis windows di seluruh dunia masih rentan terhadap serangan WannaCry," ungkapnya dalam keterangan, kemarin.

Menurutnya, tujuan di balik serangan pertama WannaCry tampaknya  dilakukan sebuah ‘negara kebangsaan’ daripada penjahat siber yang mengincar keuntungan finansial. Akhir tahun lalu, pemerintah AS menuduh Korea Utara.

Kode pemrograman WannaCry cacat, termasuk komponen pembayarannya dan di belakang serangannya diperkirakan hanya berhasil meraup sekitar $140.000 pada akhir Agustus tahun lalu. Jumlah ini, ditambah dua atau lebih Bitcoin yang mereka peroleh setelah melakukan penarikan, rendah mengingat banyaknya PC yang terinfeksi.

Keberhasilan WannaCry terjadi di beberapa fakta kunci: ia  mengeksploitasi kerentanan yang lazim di banyak PC yang menjalankan sistem operasi lama; sebagian besar sistem operasi lama sudah tidak didukung pembaruan (update) dan karena itu rentan terhadap serangan malware; kemudian, WannaCry tidak memerlukan tindakan pengguna untuk menyebarkan diri karena diprogram sebagai worm.

"Namun, kami di Avast telah melakukan penyelidikan terhadap serangan pertama dan serangan-serangan berikutnya untuk menemukan cara menghindari serangan serupa di masa depan," katanya.

Kegagalan memasang patch membuat serangan WannaCry menjadi mungkin WannaCry menyebar secara agresif dan menginfeksi PC tanpa memerlukan interaksi pengguna dengan mengeksploitasi eksploit dalam Windows bernama EternalBlue, atau MS17-010.

EternalBlue adalah sebuah bug yang krusial dalam kode pemrograman Windows Microsoft yang usianya setua Windows XP. Kerentanan tersebut memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh dengan menyusun permintaan ke layanan Windows File and Printer Sharing Windows. Malware WannaCry yang sudah aktif di PC akan memindai jaringan lokal dan sub-jaringan, dan memilih alamat IP secara acak.

Setelah menemukan PC yang rentan, WannaCry akan menyebar ke PC itu juga. Metode serangan ini mungkin karena ia diprogram sebagai worm.

Beberapa laporan mengungkap bahwa ada kemungkinan WannaCry ditemukan pertama kali oleh NSA, yang memberinya nama "EternalBlue," merahasiakannya, dan kemudian membuat alat pintu belakang untuk mengeksploitasinya.

Grup peretas yang menamakan diri ShadowBrokers kemudian menyebarkan kerentanan tersebut kepada publik sebulan sebelum wabah WannaCry pecah. Microsoft sebenarnya sudah merilis patch untuk EternalBlue pada bulan Maret, dua bulan sebelum serangan terjadi. Namun, WannaCry berhasil menyerang ratusan juta PC pengguna karena orang gagal memasang patch tersebut.

Selain WannaCry, ada beberapa jenis malware lain, seperti NotPetya, yang memanfaatkan kerentanan EternalBlue. Salah satu yang terkenal adalah malware cryptomining Adylkuzz. Selain untuk menyebarkan malware cryptomining, EternalBlue juga digunakan untuk menyebarkan Trojan perbankan bernama Retefe.

Ia juga telah digunakan oleh berbagai kelompok peretas yang memiliki hubungan dengan negara-kebangsaan, diantaranya untuk mencuri dan mengumpulkan kata sandi, dan masih menjadi alat yang berguna bagi penjahat siber untuk menyebarkan atau menetapkan target bagi malware.

Berita tentang WannaCry tidak hanya disebar media teknologi, hampir semua media utama di dunia meliput serangannya yang meluas – membuat masyarakat menjadi familiar dengan kata ‘WannaCry’.

Namun, seolah-olah mengabaikan begitu besarnya daya rusak ransomeware tersebut bagi pengguna pribadi maupun bisnis, orang masih saja tidak memasang patch yang diperlukan untuk mengamankan sistem komputer mereka. Pertanyaan kemudian muncul: Kenapa orang tidak memasangnya? Kami punya beberapa teori.

Kemungkinan pertama, pengguna belum begitu mengerti soal patch atau pembaruan perangkat lunak: apa itu patch dan mengapa mereka penting? Kebanyakan dari mereka belum sepenuhnya menyadari bahwa sistem komputer mereka memiliki kerentanan yang dapat dieksploitasi oleh penjahat siber untuk menyebarkan malware. Ketika sebuah kerentanan ditemukan, pengembang perangkat lunak biasanya membuat dan membagi-bagikan patch untuk memperbaiki masalahnya. Dampak WannaCry bisa sangat diminimalkan  seandainya para profesional IT mengunduh patch MS17-010 segera setelah Microsoft menyediakannya.

Kemungkinan kedua, pengguna merasa patch adalah sebuah interupsi. Pengguna merasa patch menginterupsi aktifitas yang tengah mereka lakukan untuk menunggu sampai pengunduhan telah selesai. Pembaruan Windows sering dipasang saat reboot sistem, sehingga pengguna harus menunggu beberapa menit sebelum dapat menggunakan komputer mereka. Alasan lainnya mungkin untuk menolak perubahan. Pembaruan sistem operasi atau program dapat mengubah lingkungan dan antarmuka program yang sudah membuat pengguna terbiasa.

Ketiga, bisnis dan organisasi seperti National Health Service (NHS) di Inggris mungkin melakukan penjadwalan untuk pemasangan pembaruan sistem, sehingga pembaruannya tidak mengganggu aktifitas organisasi. Untuk organisasi di bidang keperawatan seperti NHS, layanan dapat berkurang selama permbaruan berlangsung. Mereka harus menimbang kerugian antara tidak memasang patch dengan mengurangi layanan.

Terakhir tapi tak kalah penting, beberapa sistem mungkin tidak pernah menerima patch tersebut ketika WannaCry menyerang karena sistemnya sudah terlalu tua, Windows XP tidak lagi didukung dan karena itu dibiarkan tak berdaya.

Untuk meningkatkan pemasangan patch, industri teknologi perlu bekerja sama untuk meningkatkan kesadaran masyarakat tentang patch, tujuan mereka, masalah yang mereka perbaiki, dan bagaimana mereka dapat mencegah serangan. Mereka dapat menjelaskan tujuan dan manfaat patch ketika penggua diminta untuk memasang pembaruannya. Meski bukan untuk menakut-nakuti, pengguna mungkin akan lebih cendermemasang patch yang tersedia bilsa mereka menyadari bahwa ada masalah yang dpat berdampak negatif terhadap sistem komputer mereka.

Tantangan dalam mengkomunikasikan pembaruan yang diperlukan adalah menjangkau semua basis pengguna yang memiliki prioritas yang berbeda, dan memasang patch biasanya bukan salah satu prioritas mereka. Sebagaimana mereka telah bekerja untuk meningkatkan kesadaran tentang tindakan-tindakan keamanan digital, kini industri teknologi harus bekerja untuk mengedukasi dan meningkatkan pemahaman tentang pentingnya memasang patch sebagai alat keamanan. Kedua hal di atas merupakan penghalang yang besar bagi aktifitas kejahatan siber.

Meskipun pengalaman pengguna sudah dipertimbangkan oleh pengembang perangkat lunak, selalu ada ruang untuk perbaikan. Tidak cukup bagi pengguna untuk menjadi lebih sadar akan adanya patch dan alasan-alasan dibalik itu; ketidaknyamanan yang terkait dengan hal tersebut juga perlu dikurangi. Hal ini dapat dilakukan dengan memperbarui latar belakang atau dalam dosis yang lebih kecil, atau hanya dengan membuat orang lebih sadar akan opsi seperti pembaruan dalam waktu semalam.

Terakhir, pengembang perangkat lunak harus mulai mempertimbangkan bahwa umur dari sistem yang mereka ciptakan bisa melebihi harapan awal, dengan  perangkat keras yang handal dan dukungan yang berkelanjutan. Windows XP dan Windows Vista, misalnya, masih digunakan 4.3% dan 1.5% pengguna Avast, meskipun Microsoft sudah tidak lagi menyediakan dukungan untuk kedua sistem operasi yang populer tersebut.

Sayangnya ada satu sisi negatif dari pembaruan, yaitu penjahat siber melihat mereka sebagai kendaraan untuk mendistribusikan malware ke banyak orang. Jenis serangan ini disebut serangan rantai pasokan, di mana penyerang menyuntikkan kode berbahaya ke dalam komponen seperti libarry atau snippet kode aplikasi open-source dan komersial.

Saat pengguna menginstal atau memperbarui aplikasi yang terinfeksi, malware menginfeksi sistem mereka dengan muatan berbahaya. Cara tradisional menyebarkan malware kian mahal dan sulit bagi penjahat siber berkat inovasi-inovasi terbaru dalam industri keamanan. Hal ini menyebabkan penjahat siber mengalihkan serangan ke rantai pasokan.

Melindungi diri terhadap serangan rantai pasokan adalah pekerjaan yang rumit bagi perusahaan, dan terlebih bagi pengembang perangkat lunak independen. Untuk melindungi berkas instalasi dan pembaruan, pengembang perangkat lunak harus terlebih dahulu dan mengutamakan menggunakan solusi keamanan informasi yang tepat.

Sama pentingnya adalah keamanan dan aturan jaringan yang ketat untuk pembangunan dan pemasangan patch pada infrastruktur, seperti jaringan terisolasi yang menjalankan solusi keamanan endpoint, dengan akses terbatas ke sana, serta pembatasan terhadap layanan yang dapat dijalankan di perangkat yang terhubung. Pemantauan terhadap anomali di jaringan juga penting dan dapat membantu perusahaan ‘menangkap’ pihak ketiga yang tidak diinginkan dalam jaringan mereka.

Konsumen juga mendapat manfaat dari menerima informasi pendidikan tentang keamanan perangkat pribadi dan peran patch. Meskipun mereka tidak memiliki alat bisnis untuk menemukan kelemahan pada sistem komputer mereka, ada layanan lain yang tersedia yang dapat membantu mereka memastikan keamanan perangkat mereka.

Pada akhirnya, jelas bahwa industri teknologi tidak dapat mengharapkan pengguna untuk sepenuhnya memahami dan melaksanakan praktik-praktik terbaik untuk kepentingan mereka sendiri. Pengguna membutuhkan bantuan dan pendidikan tentang keamanan, dan bimbingan melalui langkah-langkah yang diperlukan dengan cara yang mudah, sederhana, dan senyaman mungkin.

Pada saat yang sama, distributor perangkat lunak harus memastikan pembaruan yang mereka distribusikan ke pelanggan mereka bersih. Jika ini bisa dilakukan, maka kolaborasi dan kontribusi pengguna dan industri teknologi yang lebih luas dengan peneliti keamanan dan perusahaan keamanan adalah yang benar-benar kuat dalam memerangi malware.

"Meskipun kami belum tahu apa dampak WannaCry berikutnya, berdasarkan wawasan penting yang kami peroleh dari serangan tahun lalu, jelas industri teknologi yang bekerja sama dengan pengguna perlu melakukan lebih banyak untuk mencegah serangan besar seperti itu terjadi lagi," katanya.(wn)