Hal Yang Perlu Anda Ketahui Tentang Ransomware WannaCry

iToday - Ransomware WannaCry menyebar luas di seluruh dunia pada bulan Mei 2017. Pelajari lebih lanjut tentang cara penyebaran serangan ransomware ini dan cara untuk melindungi jaringan dari serangan serupa, di sini. 

Symantec telah menemukan dua link yang dicurigai berhubungan dengan serangan ransomware WannaCry dan grup hacker Lazarus.

•          Kemunculan tools Lazarus dan ransomware WannaCry yang bersamaan: Symantec mengidentifikasi tools yang secara eksklusif digunakan oleh Lazarus pada mesin yang sebelumnya juga terinfeksi WannaCry varian sebelumnya. Varian WannaCry sebelumnya ini tidak memiliki kemampuan untuk menyebar melalui SMB. Tools Lazarus ini berpotensi pernah digunakan sebagai metode untuk menyebarkan WannaCry, namun hal ini belum dapat dikonfirmasi kebenarannya.

•          Shared Code: Seperti tweet yang dicuitkan oleh Neel Mehta salah satu staf Google, ada beberapa kode yang sama antara tools Lazarus dan ransomware WannaCry. Symantec telah menetapkan bahwa kode sama ini adalah bentuk SSL. Implementasi SSL ini menggunakan urutan spesifik 75 cipher yang sampai saat ini hanya terlihat pada tools Lazarus (termasuk Contopee dan Brambul) dan  varian WannaCry.

Meskipun temuan ini tidak menunjukkan hubungan yang pasti antara Lazarus dan WannaCry, kami percaya bahwa ada keterkaitan cukup antar keduanya, sehingga mendorong kami untuk melakukan penyelidikan lebih lanjut. Kami akan terus memberikan informasi lebih lanjut tentang penelitian kami.

Serangan ransomware baru dan berbahaya yang dikenal sebagai WannaCry (Ransom.Wannacry) telah menyerang ratusan ribu komputer di seluruh dunia sejak kemunculannya pada hari Jumat, 12 Mei. WannaCry jauh lebih berbahaya daripada jenis ransomware lainnya karena kemampuannya untuk menyebar ke jaringan perusahaan dengan memanfaatkan kerentanan serius di komputer dengan sistem operasi Microsoft Windows, yang sudah dipatched oleh Microsoft pada bulan Maret 2017 (MS17-10).  Exploit yang dikenal sebagai “Eternal Blue” dirilis online pada bulan April dalam sejumlah kebocoran terbaru yang dirilis oleh kelompok yang dikenal dengan nama Shadow Brokers, yang mengklaim telah mencuri data dari grup mata-mata siber Equation.

Apakah saya terlindungi dari Serangan Ransomware WannaCry?

Symantec Endpoint Protection (SEP) dan Norton secara proaktif telah melakukan pemblokiran segala upaya eksploitasi kerentanan oleh WannaCry. Ini berarti pelanggan telah terlindungi sepenuhnya sebelum WannaCry pertama kali muncul.

Blue Coat Global Intelligence Network (GIN) menyediakan deteksi otomatis ke semua produk yang diaktifkan untuk upaya infeksi berbasis web.

Pelanggan Symantec dan Norton terlindungi dari ancaman WannaCry menggunakan kombinasi beberapa teknologi.

Perlindungan proaktif disediakan oleh:

•          Perlindungan berbasis jaringan IPS

•          Teknologi deteksi perilaku SONAR

•          Advanced Machine Learning

•          Intelligent Threat Cloud 

Pelanggan harus mengaktifkan teknologi ini untuk mendapatkan perlindungan proaktif yang menyeluruh. Pelanggan SEP disarankan untuk melakuka migrasi ke SEP 14 untuk memanfaatkan perlindungan proaktif yang diberikan oleh Machine Learning.

Perlindungan Berbasis Jaringan

Symantec memiliki perlindungan IPS sebagai berikut ini untuk melakukan pemblokiran upaya yang memanfaatkan kerentanan MS17-010:

•          Serangan OS: Upaya Pengungkapan Microsoft SMB MS17-010  (dirilis 2 Mei 2017)

•          Serangan: Aktivitas Pengunduhan Shellcode  (dirilis 24 April, 2017) 

Teknologi Deteksi Perilaku SONAR

•          SONAR.AM.E.!g18

•          SONAR.AM.E!g11

•          SONAR.Cryptlk!g1

•          SONAR.Cryptlocker!g59

•          SONAR.Cryptlocker!g60

•          SONAR.Cryptlocker!g80

•          SONAR.Heuristic.159

•          SONAR.Heur.Dropper

•          SONAR.Heur.RGC!g151

•          SONAR.Heur.RGC.CM!g13

•          SONAR.Heuristic.158

•          SONAR.Heuristic.161

•          SONAR.SuspDataRun

•          SONAR.SuspLaunch!g11

•          SONAR.SuspLaunch!gen4

•          SONAR.TCP!gen1

 Sapient Machine Learning

•          Heur.AdvML.A

•          Heur.AdvML.B

•          Heur.AdvML.D

 Antivirus

Untuk tujuan perlindungan dan identifikasi yang lebih besar, Antivirus berikut telah diperbarui:

•          Ransom.Wannacry

•          Ransom.CryptXXX

•          Trojan.Gen.8!Cloud

•          Trojan.Gen.2           

Para pelanggan harus melakukan LiveUpdate dan memverifikasi bahwa mereka memiliki versi berlisensi atau terbaru untuk memastikan mereka memiliki perlindungan yang paling mutakhir:

•          20170512.009

IPS berikut ini juga memblokir aktivitas yang terkait dengan Ransom. Wannacry:

•          Sistem yang terinfeksi: Aktivitas Ransom.Ransom32

Perusahaan juga harus memastikan bahwa mereka sudah menginstal update keamanan Windows terbaru, khususnya MS17-010 untuk mencegah penyebaran.

Apa itu ransomware WannaCry?

WannaCry mencari dan mengenkripsi 176 jenis file yang berbeda dan menambahkan .WCRY di akhir nama filenya. Serangan ini meminta pengguna membayar uang tebusan sebesar USD300 dalam bentuk bitcoin. Pesan mengenai uang tebusan tersebut juga menunjukkan bahwa jumlahnya akan meningkat dua kali lipat dalam tiga hari ke depan. Jika pembayaran tidak dilakukan dalam jangka waktu tujuh hari, file yang dienkripsi akan dihapus.

Dapatkah Saya Memulihkan File yang Dienkripsi atau Haruskah Saya Membayar Uang Tebusan?

Dekripsi file yang dienkripsi tidak mungkin dilakukan saat ini. Jika Anda telah memiliki backup dari file yang telah terinfeksi, Anda mungkin bisa mengembalikan data tersebut. Symantec tidak merekomendasikan untuk membayar uang tebusan.

Dalam beberapa kasus, file dapat dipulihkan tanpa backup. File yang tersimpan di Desktop, My Documents, atau di removable drive yang dienkripsi dan salinan aslinya dihapus, tidak dapat dipulihkan.  Sedangkan file yang disimpan di tempat lain di komputer yang dienkripsi dan salinan aslinya dihapus. File ini berarti masih dapat dipulihkan dengan menggunakan undelete tool.

Kapan WannaCry muncul dan Seberapa Cepat Ransomware tersebut Menyebar?

WannaCry pertama kali muncul pada hari Jumat tanggal 12 Mei. Symantec melihat peningkatan dramatis dari jumlah serangan yang mengeksploitasi kerentanan Windows oleh WannaCry, mulai dari sekitar pukul 8:00 GMT dan seterusnya. Jumlah eksploitasi yang diblokir Symantec sedikit menurun pada hari Sabtu dan Minggu namun jumlahnya tetap cukup tinggi.

 

 

Jumlah upaya eksploitasi kerentanan Windows oleh WannaCry yang berhasil diblokir oleh Symantec per jam

Jumlah upaya eksploitasi kerentanan Windows oleh WannaCry yang berhasil diblokir oleh Symantec per hari

 

Heatmap menunjukkan hasil deteksi Symantec terhadap WannaCry, tanggal 11 Mei -15 Mei  2017. 

Siapa yang terkena dampak serangan ini?

Setiap komputer Windows yang unpatched/tidak diupdate berpotensi rentan terhadap serangan WannaCry. Perusahaan terutama sangat berisiko karena ransomware ini memiliki kemampuannya untuk menyebar ke seluruh jaringan dan sejumlah perusahaan di dunia telah terinfeksi, sebagian besar berada di wilayah Eropa. Meskipun demikian, komputer yang dimiliki perorangan pun bisa terinfeksi.

Apakah serangan ini merupakan serangan yang ditargetkan?

Tidak, serangan ini diyakini bukan serangan yang ditargetkan saat ini. Ransomware biasanya menyerang tanpa pandang bulu.

Mengapa serangan ini menyebabkan begitu banyak dampak bagi berbagai perusahaan?

WannaCry memiliki kemampuan untuk menyebarkan dirinya sendiri dalam jaringan perusahaan, tanpa interaksi pengguna, dengan memanfaatkan kerentanan yang ada dalam Microsoft Windows. Komputer-komputer yang tidak memiliki update keamanan Windows yang terbaru sangat berisiko terinfeksi.

Bagaimana WannaCry Menyebar?

Walaupun WannaCry dapat menyebar ke seluruh jaringan perusahaan dengan memanfaatkan kerentanan komputer Microsoft Windows, sarana awal penyebaran infeksi – bagaimana komputer pertama terinfeksi di satu perusahaan masih belum dapat dikonfirmasi. Symantec telah melihat beberapa kasus WannaCry yang di-host di situs-situs berbahaya, namun tampaknya serangan ini hanya merupakan serangan peniru, yang tidak terkait dengan serangan asli dari Wannacry.

Apakah sudah banyak orang yang membayar tebusan?

Analisis dari tiga alamat Bitcoin yang diberikan oleh penyerang untuk pembayaran tebusan menunjukkan bahwa pada saat artikel ini ditulis, total  ada 31,21 bitcoin ($ 53,845) telah dibayarkan dari 207 transaksi terpisah.

Apa saja langkah-langkah terbaik agar terlindung dari serangan ransomware ini?

•          Jenis-jenis ransomware baru muncul secara teratur. Selalu perbarui software keamanan Anda untuk melindungi diri terhadap serangan mereka.

•          Pastikan sistem operasional dan software Anda terupdate. Pembaruan software sering kali mencakup patch untuk kerentanan keamanan yang baru ditemukan yang dapat dimanfaatkan oleh para penyerang.

•          Email adalah salah satu metode infeksi utama. Waspadai email yang mencurigakan terutama jika terdapat tautan dan/atau lampiran.

•          Sangat berhati-hatilah dengan lampiran email Microsoft Office yang menyarankan agar Anda mengaktifkan macro untuk melihat isinya. Kecuali Anda benar-benar yakin bahwa isi email tersebut merupakan email asli dari sumber terpercaya, jangan aktifkan macro dan langsung hapus email tersebut.

•          Melakukan back-up data penting adalah cara paling efektif untuk memerangi infeksi ransomware ini. Para penyerang memanfaatkan korban dengan mengenkripsi file berharga dan membuatnya tidak dapat diakses. Jika korban memiliki backup, mereka dapat mengembalikan file mereka setelah infeksi sudah dibersihkan. Namun, perusahaan harus memastikan bahwa file backup juga terlindungi atau disimpan dengan benar secara off-line sehingga para penyerang tidak dapat menghapusnya.

•          Menggunakan layanan cloud dapat membantu mengurangi infeksi ransomware, karena banyak menyimpan file versi sebelumnya, yang memungkinkan Anda untuk “melihat kembali” data yang tidak terenkripsi.

 

 

 

Tags #symantec

Komentar

Artikel Terkait

Telah dilihat : 1305 kali

sahabat total episode 2

Telah dilihat : 1257 kali

sahabat total episode 1