INFOsec.ID – Sedia payung sebelum hujan, merupakan peribahasa yang paling tepat untuk menanggapi banyaknya kejadian cybercrime yang memanfaatkan malware ransomware yang marak belakangan ini.
Ransomware merupakan istilah untuk jenis malware yang melakukan enkripsi file/dokumen pada perangkat Server/Komputer/Mobile kemudian meminta tebusan kepada pemilik dokumen jika masih menginginkan file/dokumen tersebut kembali (terdekripsi). Pelaku yang memanfaatkan ransomware biasanya menggunakan algoritma enkripsi yang cukup kuat sehingga hanya bisa direcovery jika memiliki kunci yang tepat.
Hari rabu lalu (kemarin), tanggal 30 Maret 2016, salah seorang dari perusahaan client saya di Kalimantan tiba-tiba menghubungi via telepon, Beliau menanyakan tentang malware/virus yang menginfeksi beberapa Server dan PC berbasis Windows mereka sejak tanggal 27 Maret lalu. Beliau menginformasikan jika semua file pada Server mereka tidak dapat dibuka dan berubah nama menjadi berekstensi *.xtbl . Mendengar informasi tersebut, feeling saya langsung menyatakan pasti ransomware. Setelah saya gali informasi lagi, apakah ada informasi dan pesan-pesan yang muncul pada komputer server tersebut seperti file terenkripsi dan permintaan komunikasi atau pembayaran. Ternyata betul, disebut bahwa ada informasi pesan pada Wallpaper desktop mesin terinfeksi tersebut, terdapat juga file Readme.txt dan How to decrypt your files.txt.
Saat itu juga, saya langsung menginformasikan bahwa itu merupakan salah satu jenis malware ransomware, yang bertujuan men-sandera seluruh file file/dokumen dengan enkripsi dan akan meminta bayaran sebagai tebusan agar file file dapat terdekripsi kembali. Saran saya untuk tidak mengikuti keinginan pelaku dan tidak perlu menghubungi mereka. Saya konfirmasi juga apakah mereka memiliki backup data dan system mesin tersebut, untungnya mereka menjawab ya. Meskipun backup tersebut mungkin bukan versi yang relatif baru. Saya juga teringat 2 tahun lalu pernah memasang server NAS yang memang ditujukan untuk memirror/backup seluruh server server di perusahaan tersebut. Semoga NAS backup tersebut sering difungsikan dan bisa digunakan untuk merestore system pada server tersebut.
Mungkin ada pertanyaan, kenapa tidak menyarankan untuk mengikuti instruksi dengan membayar untuk mendapatkan kunci atau berinteraksi dengan pelaku/pemilik ransomware? Bukankah lebih mudah mendapatkan file dan dokumen kembali dengan utuh? Ya, memang dengan mengikuti permintaan pelaku, ada kemungkinan mendapatkan file/dokumen kita kembali, tetapi tidak ada jaminan mereka memberikan kunci yang tepat, atau kunci yang diberikan dapat mengembalikan semua file/dokumen terenkripsi. Sama halnya saat kita berkomunikasi dengan penyandera yang tidak kita ketahui atau kenal sama sekali pelakunya dan tidak tahu apa yang mungkin dilakukannya. Instruksi pembayaran-pun dilakukan secara anonim melalui Bitcoin yang relatif sangat sulit untuk penelusurannya. Atau meskipun ternyata semua file/dokumen dapat direcover dengan mengikuti instruksi mereka (membayar kunci), maka tidak tertutup kemungkinan mereka akan mencatat atau menandai perusahaan dan akan beraksi mengulangi kembali dengan teknik sedikit berbeda setelah mengetahui si perusahaan bersedia membayar kunci tersebut, atau menjadikan perusahaan sebagai target kembali dikemudian hari.
Bagaimana mencegah kemungkinan terinfeksi malware ransomware?
Setiap organisasi atau perusahaan yang memanfaatkan Teknologi Informasi rentan terhadap malware ransomware , selain dengan teknologi proteksi yang baik seperti Anti Virus/Anti Malware disisi Jaringan/Server/PC/Mobile, kesadaran terhadap keamanan (security awareness) setiap person pengguna dan pengelola TI sangat berperan penting untuk mencegah terinfeksi ransomware.
Ransomware umumnya menyebar melalui internet (email/mailing list/attachment/website/url), pelaku biasanya mengirimkan email massal (sehingga sering dianggap spam beberapa mail server) disertai attachment (berupa file dokumen maupun archive .xlsx .docx .zip .rar dst) biasanya menyisipkan trojan/malware pada dokumen ataupun url menuju file dokumen yang berisi trojan/malware. Jika mail server atau filtering jaringan tidak dilengkapi teknologi proteksi malware/virus yang mumpuni, maka tidak tertutup kemungkinan dokumen dokumen tersebut akan masuk ke INBOX atau Komputer/PC pengguna. Tetapi jika pengguna sudah terlatih dan aware terkait email spam ber-attachment dan malware yang masuk ke INBOX/SPAM Box, seharusnya tidak perlu kuatir, karena pengguna yang sudah paham resiko malware tidak akan mencoba-coba untuk membukanya. Masalahnya masih belum banyak orang yang sadar (aware) resiko keamanan dari serangan malware tersebut. Selain melalui email, banyak juga malware ransomware yang menyebar dibantu melalui media social, yang sengaja menggunakan judul page URL yang menarik banyak perhatian pembaca, dan sering tidak disadari juga oleh orang yang mem-posting atau yang men-share URL tersebut.
Hari ini (31 Maret 2016), tersebar berita adanya ransomware bernama kimcilware yang menginfeksi beberapa website berbasis Magento, framework khusus e-commerce. Penulis menduga jika malware kimcilware merupakan hasil pekerjaan orang indonesia, dilihat dari alamat emailnya menggunakan [email protected] .
Menurut analisis penulis, malware yang disebut ransomware kimcilware diatas berbeda dengan ransomware contoh sebelumnya (*.locky, *.xtbl dll), yang mampu otomatis menyebar dan menginfeksi targetnya. Kimcilware kemungkinan besar dieksekusi secara manual oleh sipelaku setelah berhasil mengupload webshell (phpshell) dengan memanfaatkan kelemahan framework Magneto dan menggunakan php script untuk enkripsi. Hal ini dapat diamati dari beberapa situs yang diretas dengan script yang sama oleh Kimcilware, umumnya website-website tersebut hosting di mesin server Linux yang memiliki proteksi keamanan di level file ownership dan permission untuk setiap akun hosting. Pada ransomware yang umum seperti *.locky, *.xtbl, malware dapat menginfeksi seluruh system dengan priviledge administrator system, sehingga bahkan mampu mendisable/locked fasilitas restore point MS Windows. Pada kasus kimcilware, si pelaku hanya mampu mengenkripsi folder salah satu akun hosting yang sebelumnya berhasil di take over. Dari informasi pada forum magento , di peroleh informasi jika ada beberapa domain yang menggunakan CMS/framework yang sama pada server tersebut, tetapi tidak ikut terinfeksi.
Jika memang benar ini adalah hasil pekerjaan “iseng” dari anak Indonesia, sangat disayangkan jika menggunakan kemampuannya dalam membobol situs disalahgunakan untuk mencari keuntungan dengan men-sandera dokumen dan file milik orang lain. Motif pekerjaan seperti ini sudah tergolong sangat merugikan dan memang bertujuan jahat yang sifatnya pemerasan, berbeda dengan para hacker atau defacer umumnya hanya menambahkan informasi pesan jika sistem memiliki kelemahan sembari menampilkan nickname pelaku (defacing).
Sumber : http://infosec.id/2016/03/restore-backup-sebagai-satu-satunya-solusi-penanganan-ransomware/
