MOBITEKNO – Menanggapi maraknya ancaman ransomware WannaCry/Wcry, Trend Micro ikut menyikapi dengan memberikan langkah-langkap perlindungan yang perlu ditempuh dalam melindungi end-user maupun enterprise. Seperti diketahui bersama, infeksi ransomware ini tengah melanda beberapa organisasi atau instansi di berbagai lini industri global.
Trend Micro sendiri telah lama melakukan penelusuran terhadap kemunculan WannaCry sejak pertama kali jenis ransomware ini muncul secara liar di bulan April 2017. Trend Micro™ XGen™ Security berhasil melindungi pengguna dari ancaman tersebut, juga beragam ancaman lainnya, menggunakan teknik behavioral analysis dan high fidelity machine learning.
Apa yang sebenarnya terjadi?
Kemunculan serangan ini dilaporkan pertama kali oleh beberapa perusahaan di Eropa yang mengalami gagal akses karena sistem Windows mission-critical mereka terkunci, dan disusul kemudian muncul tulisan peringatan untuk meminta tebusan. Peristiwa tersebut kemudian berkembang dengan cepatnya dan pecah menjadi wabah ransomware yang saat ini tengah melanda di banyak organisasi di belahan dunia.
Sejumlah instansi atau organisasi yang terdampak terpaksa mematikan dan membuat infrastruktur IT mereka offline untuk sementara waktu. Tak sedikit pula industri kesehatan ikut terkena dampak yang mengalami kendala operasional, dan bahkan beberapa terpaksa menolak pasien untuk sementara waktu hingga proses perbaikan kembali usai dilakukan.
Siapa saja yang terdampak?
Varian ransomware WannaCry menyerang sistem berbasis Windows yang sudah usang, dan meninggalkan serangkaian jejak kerusakan yang terbilang parah. Berdasarkan pada telemetri awal yang dilakukan oleh Trend Micro, wilayah yang terdeteksi paling banyak mengalami wabah serangan ransomware ini adalah kawasan Eropa.
Namun demikian, kawasan Timur Tengah, Jepang dan beberapa negara di kawasan Asia Pasifik juga menunjukkan tingkat infeksi yang cukup tinggi. Infeksi WannaCry juga diketahui melanda dan membawa dampak besar pada beragam industri, seperti kesehatan, manufaktur, energi (minyak dan gas), teknologi, food and baverage, edukasi, media dan komunikasi, serta pemerintahan.
Apa yang dilakukan oleh WannaCry?
Ransomware WannaCry membidik sasaran pada 176 jenis file dan kemudian melakukan enkripsi file-file tersebut. Seperti tertera pada tulisan ancaman untuk tebusan, mereka awalnya meminta tebusan dari para korban berupa Bitcoins senilai US$ 300 (sekitar 4 juta rupiah)—kemudian jumlah permintaan tebusan berubah kian tinggi, ketika waktu kian mendekati tenggat yang telah mereka tentukan.
Korban diberi waktu selama tujuh hari sebelum akhirnya file-file korban yang telah terinfeksi dihapus. Taktik menakut-nakuti dan mengancam korban seperti ini biasa digunakan untuk kasus-kasus sejenis. Bahkan, tulisan peringatan untuk meminta tebusan secara paksa kepada korban telah mendukung ke dalam 27 bahasa berbeda.
WannaCry memanfaatkan CVE-2017-0144, celah di Server Message Block, untuk menginfeksi sistem. Lubang keamanan ini diserang menggunakan exploit leaked by the Shadow Brokers group, atau lebih tepatnya “EternalBlue”. Security Response Center (MSRC) Team dari Microsoft juga telah menanggapi isu vulnerability ini dengan menghadirkan patch MS17-010 yang telah dirilis pada bulan Maret 2017 lalu.
Yang menjadikan dampak dari WannaCry ini begitu cepat menjalar adalah kemampuannya untuk melakukan propagasi dengan cepat. Perilakunya yang mirip dengan perilaku infeksi worm, menjadikannya mudah untuk disebar ke penjuru jaringan, menginfeksi sistem terkoneksi meski tanpa interaksi dengan pengguna.
Kemampuan WannaCry untuk melakukan propagasi dengan cepat tentunya akan mengingatkan kita akan famili ransomware terdahulu, seperti SAMSAM, HDDCryptor, dan beberapa varian lainnya yang semuanya memiliki ciri-ciri perilaku yang mirip dan mampu menginfeksi sistem maupun server yang terkoneksi ke jaringan.
Apa yang dapat Anda lakukan?
WannaCry menyoroti dampak nyata ransowmware tersebut, seperti menyebabkan lumpuhnya sistem, mengacaukan operasi, mencederai reputasi, serta kerugian-kerugian finansial akibat terkendalanya kegiatan bisnis sehari-hari. Selain itu, ransomware ini juga diindikasikan bisa menyebabkan kerugian finansial yang dibutuhkan untuk biaya melakukan tindakan responsif terhadap insiden dan pembersihan seluruh sistem.
Berikut beberapa solusi dan langkah-langkah praktis yang bisa dilakukan oleh organisasi dalam mengimplementasikan pengamanan sistem mereka dari ancaman, seperti WannaCry:
* Ransomware mengeksploitasi celah vulnerability di SMB server. Penempatan patching penting sekali untuk melindungi diri dari serangan yang mengeksploitasi celah-celah keamanan seperti ini. Patch juga telah tersedia dan dirilis untuk Windows systems, termasuk untuk sistem yang sudah tak lagi didukung oleh Microsoft. Apabila organisasi tidak dapat melakukan penambalan dengan patch secara langsung, melakukan penambalan menggunakan virtual patch dirasa akan cukup membantu dalam upaya mitigasi terhadap ancaman tersebut.
* Memasang firewalls dan pendeteksian dengan intrusion prevention systems bisa membantu mengurangi penyebaran ancaman ini. Sistem keamanan yang dapat melakukan pemonitoran secara proaktif akan munculnya serangan-serangan di jaringan cukup ampuh untuk menghentikan serangan-serangan tersebut.
* Terlepas dari digunakannya exploit untuk menyebarkan aksinya secara luas, WannaCry dilaporkan juga menggunakan spam sebagai titik serangan. Dengan melihat tanda bendera merah/red flags di email-email spam yang terkontaminasi dengan system exploits cukup membantu. IT dan system administrators perlu untuk segera melakukan penggelaran mekanisme keamanan yang mampu melindungi endpoint dari malware yang memanfaatkan email/email-based malware.
* WannaCry meninggalkan berbagai komponen jahat di sistem untuk menjalankan aksi mengenkripsi file terinfeksi. Application control berbasis pada whitelist manjur untuk mencegah aplikasi-aplikasi tak dikenal maupun yang tak diinginkan dari melakukan eksekusi file. Behavior monitoring juga manjur untuk memblokir modifikasi sistem yang tak biasa. Ransomware menggunakan serangkaian teknik untuk menginfeksi sistem; untuk itulah tim IT perlu melakukan teknik dan tindakan yang sama dalam menerapkan perlindungan sistem.
* WannaCry melakukan enkripsi file yang tersimpan di sistem lokal maupun di jaringan terbagi. Menerapkan langkah strategis data categorization bisa membantu dalam melakukan mitigasi dampak serangan maupun pembobosan yang diakibatkannya, yakni dengan melakukan proteksi terhadap data-data kritikal/penting bilamana terekspos.
* Network segmentation juga bisa mencegah penyebaran ancaman ini lebih jauh lagi secara internal. Desain jaringan yang bagus bisa membantu mereka melakukan kontainerisasi penyebaran infeksi dan mengurangi dampak yang ditimbulkannya bagi organisasi.
* Melakukan disable protokol SMB pada sistem yang memang tak membutuhkan untuk menjalankan protokol tersebut. Menjalankan layanan-layanan yang tak perlu yang dapat memberi celah baru bagi penyerang untuk mendapatkan lubang-lubang yang mudah terbuka (vulnerability).
Tags: Ransomware WannaCry, Security, Sistem Keamanan, Trend Micro
