Kasus Cybercrime : Ransomware Wannacry

by - 01.48

Mengenal Tentang Cybercrime



Cybercrime adalah istilah yang mengacu pada aktivitas kejahatan dengan komputer alat, sasaran atau tempat terjadinya kejahatan dan jaringan komputer (jaringan internet sebagai medianya).

Dalam arti luasnya adalah semua tindakan ilegal yang dilakukan melalui jaringan komputer dan internet untuk mendapatkan keuntungan dengan merugikan pihak lain. Dalam arti sempitnya, cybercrime adalah semua tindakan ilegal yang ditujukan untuk menyerang sistem keamanan komputer dan data yang diproses oleh suatu sistem komputer.


Contoh Kasus Cybercrime

Kasus Ransomware Wannacry

Insiden Wannacry terjadi sejak Mei 2017 yang rupanya masih terjadi sampai akhir tahun 2018. Insiden ini menduduki peringkat pertama kategori Crypto Ransomware.

Wannacry terjadi pada sejak Mei 2017 sampai saat ini telah melumpuhkan lebih dari 200.000 komputer di lebih dari 150 negara, dengan estimasi total kerugian mulai dari ratusan juta hingga miliaran US dollar. Demikian pula di Indonesia serangan ransomware Wannacry ini telah melumpuhkan sejumlah stakeholder, diantaranya RS Harapan Kita, RS. Dharmais, dan Universitas Jember yang terkena dampaknya. Meskipun sudah lebih dari 1 (satu) tahun lebih berlalu, ternyata data dari Kaspersky Lab menyebutkan bahwa dalam kurun waktu November 2017 sampai Oktober 2018 ransomware Wannacry menduduki peringkat 1 kategori crypto ransomware  yang banyak menginfeksi. Hal ini berarti serangan Wannacry belum berakhir.

Bahkan pada tahun 2021 ini, banyak juga serangan ransomware wannacry yang terjadi. Dalam sebuah laporan tentang tren ransomware, Barracuda menyebutkan bahwa, terhitung sejak bulan Agustus 2020 hingga Juli 2021, serangan ransomware meningkat hingga 64 persen dengan total 121 serangan.

Lebih dari separuh serangan menyasar bisnis dan perusahaan dengan persentase 57 persen. Beberapa sektor bisnis yang jadi sasaran serangan ransomware misalnya infrastruktur, travel, hingga layanan keuangan. Serangan ransomware di sektor infrastruktur disebut mencapai 10 persen. Namun, serangan ransomware sangat cepat berkembang dan kini menyerang sektor rantai pasokan.

Barracuda juga menemukan bahwa rata-rata uang tebusan yang diminta per insiden serangan adalah lebih dari 10 juta dollar AS atau sekitar Rp 143 miliar. Biasanya tebusan diminta dalam bentuk mata uang kripto seperti Bitcoin atau Monero. 

Hanya 18 persen dari total insiden serangan yang meminta uang tebusan di bawah 10 juta dollar AS, sedangkan 30 persen lainnya meminta uang tebusan di atas 30 juta dollar AS (sekitar Rp 431 miliar). Namun, beberapa korban serangan bernegoisasi dengan penyerang ransomware untuk mengurangi jumlah tebusan yang diminta. Banyak dari serangan ini dilakukan oleh segelintir geng ransomware yang sudah banyak dikenal.  Salah satunya adalah ransomware Revil yang menyumbang 19 persen dari total serangan yang terjadi dalam setahun terakhir. Kemudian ada DarkSide yang menyumbang 8 persen dari total serangan.


Apa itu Ransomware Wannacry?

Ransomware Wannacry adalah malicious software yang menargetkan pengguna sistem operasi Microsoft Windows dengan mengenkripsi data korban dan menuntut pembayaran uang tebusan dalam cryptocurrency Bitcoin. Wannacry juga termasuk kategori network worm karena kapabilitas/kemampuan untuk menyebarkan diri (propagasi) kepada calon korban lainnya. Wannacry juga dikenal juga dengan nama WannaCrypt, WanaCrypt0r, WCrypt, WCRY. Adapun WannaCry versi 0, 1, dan 2 dibuat menggunakan Microsoft Visual C ++ 6.0


Bagaimana Ransomware Wannacry Bekerja?

Seperti ransomware lainnya, ketika Wannacry yang sudah menginfeksi komputer korban, Wannacry akan melakukan enkripsi terhadap semua dokumen korban, sehingga korban tidak dapat mengakses semua dokumen yang dimilikinya. Kemudian Wannacry akan menyebar dengan cara :
a. Men-scanning sistem operasi yang vulnerable yang terhubung jaringan;
b. Menggunakan exploit tool EternalBlue yang memanfaatkan celah keamanan file sharing Windows (SMBv1) untuk mendapatkan akses;
c. Menggunakan exploit tool DoublePulsar untuk meng-install dan menjalankan salinannya sendiri.

Wannacry juga dapat menyebar melalui metode lain, seperti :
a. Phishing e-mail, yaitu e-mail dengan attachment berupa malicious document (PDF, Word, dan lainnya).
b. File malicious yang diunduh langsung oleh korban dari internet.
File malicious seringkali berupa video porno dan aplikasi bajakan.
c. Pertukaran media, seperti USB flashdisk atau eksternal harddisk yang sudah terkontaminasi Wannacry.

 

Siapa saja yang berpotensi terkena Ransomware Wannacry?

Mereka yang berpotensi terkena Wannacry adalah pemilik komputer dengan sistem operasi Windows yang belum pernah di-patch sejak April 2017. Daftar dari sistem operasi Windows yang berpotensi terkena Wannacry yaitu :



Namun data dari Kaspersky Lab menyebutkan bahwa dari pengguna yang terinfeksi Wannacry sebanyak 0.1% terjadi di Windows XP dan 98% terjadi di Windows 7.

 

Cara Mencegah Ransomware Wannacry

1. Menonaktifkan SMBv1

Wannacry menggunakan kerentanan dari SMBv1, sehingga untuk mencegah Wannacry pengguna Windows perlu dapat menonaktifkan SMBv1 baik pada sisi server (SMBv1 Server) maupun sisi client (SMBv1 Client/Workstation). Terdapat beberapa metode untuk  menonaktifkan SMBv1 diantaranya menggunakan Command Prompt (CMD), Windows Powershell, dan Register Edit (Regedit).


2. Menerapkan Patch dan menggunakan tool dari windows

Setelah Microsoft menemukan kerentanannya pada 14 Maret 2017 Microsoft mengeluarkan buletin keamanan MS17-010[2] yang merinci kelemahannya dan menginfokan bahwa patch telah dirilis untuk semua versi Windows yang rentan. Patch ini diberikan apabila pengguna menjalankan fitur Windows Update atau bisa mengunduh secara manual. Selain itu Windows pada 22 Mei 2017 merilis tool khusus untuk mengatasi Wannacry yaitu Windows Malicious Software Removal Tool (MSRT)[3]. Atau dapat juga menggunakan Microsoft Safety Scanner[4] untuk mengatasi Wannacry atau malware lainnya, tool ini baru dirilis oleh Microsoft pada 22 Februari 2019.


3. Menonaktifkan fungsi Macros pada Microsoft Office

Windows Scripting Host (sering disingkat menjadi WSH) adalah sebuah aplikasi yang mendukung fungsi-fungsi scripting di dalam sistem operasi Windows 2000, Windows NT Option Pack, Windows 98, Windows XP, dan Windows Vista yang mengizinkan para administrator untuk mengeksekusi script untuk beberapa tugas administratif, baik itu menggunakan cscript.exe maupun wscript.exe[5]. WSH ini digunakan untuk membuat macros. Sedangkan menonaktifkan fungsi macros bertujuan untuk menghindari file dari aplikasi Ms. Office, atau WScript terkena dampak penyebaran Wannacry.

Berikut ini adalah langkah untuk mengetahui status ON / OFF dari WSH dan Macros :

a. Buka Menu Run dari Windows, kemudian ketikkan wscript.

b. Jika muncul pesan: “Windows Script Host access is disabled on this machine. Contact your administrator for details.”, itu artinya WSH dalam posisi OFF. Jika muncul kotak dialog Windows Scripting Host Settings artinya WSH dalam posisi ON.

Sedangkan untuk menonaktifkan fungsi Macros lakukan hal berikut :

Untuk Microsoft Office 2007 (Word, Excel, Power Point) :

a. Klik Microsoft Office Button di Kiri Atas. Lalu Pilih Access Options

b. Klik Trust Center, lalu klik Trus Center Settings, dan lalu klik Macro Settings

c. Pilih Opsi : Disable all macros with notification

Untuk Microsoft Office 2007 (Outlook) :

a. Pilih Menu Tools, lalu klik Trust Center

b. Klik Settings

c. Pilih Opsi : Disable all macros with notification

Untuk Microsoft Office 2010, 2013, 2016 (Excel, Word, Outlook, PowerPoint, Access, Visio) :

a. Klik Tab File

b. Klik Options

c. Klik Trust Center, lalu klik Trust Center Settings

d. Pada bagian Trust Center, klik Macro Settings

e. Pilih Opsi : Disable all macros with notification

f. Klik OK.


4. Blokir Port TCP : 139.445.3389 dan Port UDP : 137.138

Port 139/445 pada sistem Windows digunakan untuk banyak keperluan. Salah satu keperluan yang membutuhkan port tersebut adalah untuk Sharing File/Folder dan Sharing PrinterPort ini digunakan Wannacry sebagai media propagasi/penyebaran diri. Jika tidak digunakan sebaiknya port-port ini ditutup. Namun jika port ini ditutup, maka ada kemungkinan layanan sharing file dan sharing printer tidak berfungsi.

a. Untuk melakukan blocking pada port TCP 139,445,3389 yaitu :

1) Buka Windows Firewall atau menu Run dari Windows, kemudian ketikkan wf.msc. Klik Advanced Setting.

2) Klik Inbound Rule, pilih New Rule.

3) Pilih Port, lalu klik Next.

4) Pilih TCP, lalu isikan : 139, 445, 3389 dan klik Next.

5) Pilih Block the connection, lalu klik Next.

6) Centang þ semua pilihan yang ada (Domain, Private, Public), lalu klik Next.

7) Isikan Nama Profilenya, misalnya : “Block Wannacry TCP”, klik Finish.

8) Pastikan di Inbound Rule ada Profile “Block Wanncry TCP” dengan status Enabled.

b. Untuk melakukan blocking pada port UDP 137,138 yaitu :

1) Ulangi Step by Step di atas mulai dari nomor 1) s.d. 3).

2) Pilih TCP, lalu isikan : 137,138 dan klik Next.

3) Lakukan hal yang sama sampai selesai, namun Nama Profilenya diganti “Block Wannacry UDP”.

 

Yang dilakukan jika sudah terkena Ransomware Wannacry

.1. Putuskan Koneksi Komputer ke Jaringan

Hal ini bertujuan untuk mencegah propagasi/penyebaran Wannacry melalui celah keamanan pada SMBv1 kepada komputer lainnya yang berada di jaringan yang sama.

2. Melakukan Dekripsi dengan Berbagai Tool

Saat ini tersedia berbagai tool untuk melakukan dekripsi data yang terinfeksi Wannacry, berdasarkan hasil riset dari berbagai pihak[7] :
a. Coba dekripsi langsung di Wannacrypt dengan password berupa : WNcry@2ol7
b. Coba gunakan tool Wannakiwi
WanaKiwi merupakan tool yang dijalankan menggunakan command prompt (CMD) dan dapat diunduh pada link : https://github.com/gentilkiwi/wanakiwi/releases.
Apabila dekripsi tidak berhasil, maka disarankan untuk melakukan backup semua file yang sudah terenkripsi ke dalam media terpisah (seperti flashdisk atau hardisk), dan media tersebut jangan digunakan sebagai media pertukaran file melainkan hanya untuk menyimpan dokumen yang terenkripsi. Tujuannya adalah jika sewaktu-waktu terdapat tool untuk dekripsi, maka file yang sudah terenkripsi dapat dikembalikan.

3. Melakukan Restore Sistem Operasi Windows

Ketika Windows terinfeksi Wannacry, maka sistem operasi Windows tidak dapat digunakan. Untuk itu state pada system perlu dikembalikan ke kondisi semula sebelum terinfeksi Wannacry dengan menggunakan fitur System Restore. Apabila pengguna tidak pernah membuat Restore Point, maka bisa dilakukan restore ke kondisi paling awal (factory setting). Namun demikian, fitur System Restore tidak bisa mengembalikan data pengguna yang telah terinfeksi.


Penanganan Insiden Cyber Ransomware

Dalam melakukan penanganan insiden siber ransomware, perlu dilakukan penelusuran terkait penyebab malicious software (malware) yang mengakibatkan terkuncinya data pengguna. Kegiatan penelusuran insiden siber dapat dilakukan sesuai dengan tahapan sebagai berikut :


1. Fase Persiapan
Tahap ini adalah tahap dimana kebijakan, prosedur,teknologi, dan sumber daya manusia harus disiapkan secara matang, dimana akan digunakan pada proses penanganan terhadap insiden. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden, merupakan persiapan yang mendasar bagi penanganan insiden siber ransomware.

Langkah yang dapat diambil, sebagai berikut :

  1. Mempersiapkan tim tanggap insiden siber yang dapat berasal dari internal atau eksternal organisasi;
  2. Mempersiapkan dokumen pendukung untuk melakukan penanganan insiden, misalkan dokumen prosedur penanganan insiden, dokumen kebijakan penggunaan laptop/pc, antivirusbackup;
  3. Melakukan koordinasi dengan pihak terkait, misalkan tim aplikasi, tim infrastruktur, tim pakar, atau tim tanggap insiden lainnya (CSIRT) yang mendukung dalam penanganan insiden siber;
  4. Menyiapkan tools yang dapat berupa License Tools, Open Source Tools, sumber terbuka lainnya.
2. Fase Identifikasi dan Analisis

Melakukan identifikasi dan analisis terhadap sistemt erdampak guna mendapatkan akar permasalahan dari insiden yang terjadi. Langkah yang dapat dilakukan :

  1. Melakukan identifikasi jenis ransomware untuk melakukan analisis lebih lanjut. Adapun langkah-langkah yang dilakukan sebagai berikut :
    • Temukan pesan yang disampaikan oleh aplikasi Ransomware (README File). Dalam file pesan tersebut berisi mengenai alamat email penyerang, string pesan dari malware tersebut;
    • Temukan jenis ekstensi dari file yang terkena insiden siber ransomware (misalkan *.crypt, *.cry, *.locked, dst);
    • Gunakan file Readme, Email Penyerang, dan Sampel File yang terkena insiden untuk mendapatkan jenis Ransomware melalui sumber terbuka.
  2. Memeriksa apakah antivirus berfungsi normal atau tidak. Hal ini karena ada malware yang dapat menghancurkan instalasi antivirus dengan merusak executable file, mengubah kunci registri atau merusak file definisi, maupun menonaktifkan update dari signature suatu file.
  3. Melakukan identifikasi dan analisis pada environment sistem terdampak guna mencari persistent mechanism penyerang atau artefak digital hasil penyerangan yang dilakukan. Proses yang dilakukan adalah sebagai berikut :
    • Identifikasi dan analisis proses berjalan, misalkan menggunakan tools Process Explorer untuk melakukan identifikasi Malicious Process yang sedang berjalan di sistem komputer. Aplikasi Process Explorer dapat secara langsung diaktifkan terkoneksi pada VirusTotal.com untuk dilakukan Process Scanning dengan antivirus yang terdaftar;
    • Identifikasi dan analisis jaringan komunikasi menggunakan tools Netstat untuk melakukan identifikasi Malicious Connection baik dengan status Listening, Established, SYN_SENT.
    • Identifikasi dan analisis registry, aplikasi startup, layanan terjadwal, browser history dengan menggunakan Tools Autoruns untuk melakukan identifikasi Malicious Activity dan Persistent Mechanism pada sistem terdampak;
    • Identifikasi dan analisis sistem log untuk mencari history penyerang dalam melakukan serangan pada sistem.
  4. Melakukan identifikasi dan analisis pada sistem jaringan komunikasi untuk mengetahui Lateral Movement dari penyerang dengan melakukan implementasi daftar indikasi kebocoran (indicator of compromise) pada perimeter keamanan seperti Firewall, Network IDS, Host IDS.
3. Fase Penahanan

Tahap ini bertujuan untuk mencegah penyebaran Ransomware. Prosedur yang dilakukan pada tahap penahanan adalah sebagai berikut :

  1. Melakukan isolasi sistem terdampak agar insiden siber ransomware tidak menyebar melalui jaringan misalkan dengan menutup akses ke jaringan.
  2. Mengubah konfigurasi routing table pada Firewall untuk memisahkan sistem yang terinfeksi dengan sistem lainnya. 
  3. Melakukan backup data pada sistem yang terdampak. 
  4. Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran serangan. Jika terdapat kemiripan, maka sistem tersebut juga harus dilakukan proses penahanan.
4. Fase Penghapusan

Tahap ini merupakan tahapan dimana beberapa teknik yang berbeda-beda digunakan untuk melakukan analisa terhadap malware dan menghapus malware dari sistem yang telah terinfeksi. Proses-proses yang dilakukan dalam tahap ini adalah sebagai berikut :

  1. Menghentikan proses yang terindikasi merupakan Malicious Process;
  2. Menghapus autostart process yang mencurigakan dari hasil analisa aplikasi autostart;
  3. Jika terdapat useruser yang dibuat oleh malware, maka hapus useruser yang tidak dikenali tersebut untuk menghindari masuknya kembali malware melalui user yang tidak dikenal tersebut;
  4. Setelah program malware dihapus dan malicious process di kill process, lakukan full scanning terhadap sistem menggunakan signature antivirus yang sudah diperbaharui.
5. Fase Pemulihan

Tahap pemulihan merupakan tahap mengembalikan sistem terdampak pada kondisi normal seperti semula. Proses yang dilakukan adalah sebagai berikut :

  1. Melakukan dekripsi file yang terkena dampak dengan menggunakan decryption tools yang tersedia;
  2. Melakukan validasi sistem untuk memastikan sudah tidak ada aplikasi atau file yang rusak atau terinfeksi. Begitu pula kesalahan atau kekurangan konfigurasi sistem untuk kemudian disesuaikan kembali;
  3. Melakukan aktivitas monitoring untuk memantau lalu lintas jaringan yang terhubung;
  4. Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting hilang, menyebabkan kegagalan booting pada sistem operasi), maka sistem dibangun ulang dari file backup terakhir sistem yang dimiliki;
  5. Melakukan update/patching Sistem Komputer dan Antivirus
6. Fase Tindak Lanjut

Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat sebagai referensi untuk masa mendatang. Prosedur yang dapat dilakukan adalah sebagai berikut:

  1. Membuat dokumentasi dan laporan terkait penanganan insiden siber ransomware, yang berisi langkah-langkah dan hasil yang telah didapatkan. 
  2. Memberikan analisa dan penjelasan apa yang harus dilakukan, sehingga meminimalisir insiden serupa tidak terulang kembali. 
  3. Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses hukum kedepannya. 
  4. Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat diberikan diantaranya: 
  5. Peningkatan pengetahuan tentang penanganan insiden Ransomware, misalnya melalui pelatihan, cyber exercise.
  6. Implementasikan sistem monitoring untuk pendeteksian dini serangan ataupun insiden siber.
  7. Meningkatkan pertahanan sistem
  8. Melakukan penyempurnaan prosedur penanganan insiden siber berdasarkan insiden siber yang terjadi.

Pelajaran yang Dapat diambil dari Insiden Wannacry

1. Gunakan Sistem Operasi Windows yang Genuine

Sudah 1 (satu) tahun lebih berlalu sejak Wannacry beredar dan patch Windows juga dirilis, namun ternyata banyak pengguna Windows yang tidak mendapatkan patch ini diantaranya karena sistem operasinya tidak genuine alias bajakan. Dalam sebuah studi disebutkan bahwa Indonesia menempati peringkat ke-2 dalam hal penggunaan Windows bajakan dengan persentase 86%[6]. Oleh karena itu, diperlukan kesadaran untuk menggunakan sistem operasi yang genuine (asli) atau menggunakan sistem operasi yang open source, seperti Linux.

2. Lakukan Pemisahan Drive untuk Data Pengguna dan Sistem

Salah satu kesalahan pengguna Windows adalah menyatukan antara drive untuk data pengguna dan drive untuk sistem, misalnya menyimpan data pengguna di folder Desktop, Documents, dan Downloads. Folder-folder tersebut merupakan bagian dari sistem, apabila terjadi serangan Wannacry tidak bisa dikembalikan seperti semula dengan fitur System Restore. Oleh karena itu disarankan untuk :
a. Drive C digunakan untuk menyimpan data system,
b. Drive D atau drive lainnya (jika partisi lebih dari 1) digunakan untuk menyimpan data pengguna.
c. Lakukan Backup secara Berkala

Metode backup untuk data sistem Windows adalah dengan membuat Restore Point, sedangkan metode backup untuk data pengguna adalah dengan menyalin data ke media terpisah (seperti flashdisk atau hardisk).

3. Tetap Update terhadap Informasi Siber

Ketika Wannacry terjadi di berbagai belahan dunia pada Mei 2017, Kominfo melalui Siaran Pers No. 56/HM/KOMINFO/05/2017 sudah memberikan informasi tentang Wannacry. Namun demikian, rupanya sampai dengan akhir tahun 2018 serangan ini masih banyak terjadi dan Indonesia masih masuk ke dalam Top 10 Countries Attacked by Encryptors. Oleh karena itu, diharapkan pengguna siber selalu memantau informasi tentang siber.













Sumber :
- raharja.ac.id (2020, 29 April). Apa Itu Cyber Crime?. Diakses pada 5 November 2021, dari https://raharja.ac.id/2020/04/29/apa-itu-cyber-crime/
- govcsirt.bssn.go.id. Hati-hati! Serangan Ransomware Wannacry Belum Berakhir. Diakses pada 5 November 2021, dari https://govcsirt.bssn.go.id/hati-hati-serangan-ransomware-wannacry-belum-berakhir/
- tekno.kompas.com(2021, 16 Agustus). Serangan Ransomware Dilaporkan Naik 64 Persen dari Setahun Terakhir. Diakses pada 5 November 2021, dari https://tekno.kompas.com/read/2021/08/16/18050027/serangan-ransomware-dilaporkan-naik-64-persen-dalam-setahun-terakhir?page=2
- govcsirt.bssn.go.id. Penanganan dan Pencegahan Insiden Ransomware. Diakses pada 5 November 2021, dari https://govcsirt.bssn.go.id/penanganan-dan-pencegahan-insiden-ransomware/

Share
Tweet
Pin
Share
Tags :

You May Also Like

0 komentar