27 Juni 2023 ini, malware Bukan Petya empat – jika kita bisa menggunakan kata itu – enam tahun. Pada peringatan ini, kami merenungkan penemuannya, kerusakannya, dan dampaknya.
Tentang NotPetya
Saat itu adalah hari Selasa di tahun 2017 ketika dunia dihadapkan pada malware, yang menurut para ahli serangan siber adalah malware yang paling merusak.
Menurut peneliti siber, NotPetya memulai kategori perang siber yang disponsori negara. Ukraina menjadi sasaran tindakan keras yang disponsori Kremlin yang bertujuan untuk menakut-nakuti perusahaan yang melakukan bisnis dengan negara Eropa Timur tersebut, yang saat itu sedang berperang dengan Rusia selama empat tahun.
Ketika NotPetya menyusup ke hampir semua jaringan Ukraina, kekhawatiran menyebar ketika mereka mengambil alih sistem di Eropa, Inggris, dan negara-negara lain, termasuk Brasil.
Malware ini memiliki karakteristik yang mirip dengan pendahulunya tahun 2016, Petya, dan Ingin menangis, tanggal Mei 2017.
Bukan hasil Petya
Skala, motif dan preseden yang dibuat oleh NotPetya sangat mengkhawatirkan: kerugian sebesar $10 miliar, serta kerugian yang tak terhitung akibat barang, jasa dan peluang yang rusak atau hilang.
Namun, tidak ada kematian yang disebabkan olehnya dan, yang menarik, ini bukanlah serangan ransomware, seperti yang telah disalahartikan oleh beberapa orang.
Lihat lebih lanjut tentang fitur NotPetya di bawah:
1. NotPetya tidak didefinisikan sebagai ransomware.
Hal ini karena malware mengenkripsi catatan boot master secara permanen, bahkan bagi mereka yang terkena dampak dan bersedia membayar uang tebusan untuk mendapatkan kembali datanya. Dalam hal ini, tidak ada kunci dekripsi.
Beberapa minggu setelah serangan itu, pesan-pesan menyesatkan masih dikirim dari peretas yang mungkin tidak terafiliasi yang mencari bitcoin sebagai imbalan untuk mendekripsi file. DANNamun, NotPetya bukanlah ransomware.
2. Kerugian finansial memecahkan rekor.
Ketika NotPetya memasuki Ukraina dan mulai menyebar, jejaknya berkembang begitu cepat sehingga diperkirakan bahkan mengejutkan penciptanya. Dan perkiraan pakar keamanan siber adalah kerugian yang diakui NotPetya adalah US$10 miliar.
3. Kerusakan dan gangguan jangka panjang.
Perusahaan multinasional telah melaporkan kerugian ekonomi antara $250 juta dan $300 juta, seperti perusahaan logistik yang berbasis di Inggris yang mengalami gangguan global yang disebabkan oleh NotPetya.
Akibatnya, diperlukan waktu 10 hari untuk membangun kembali kantor pusat perusahaan dan beberapa bulan lagi untuk memulihkan fungsi normal perangkat lunak tersebut.
4. NotPetya menggunakan dua eksploitasi Windows yang buruk.
Itu merupakan versi modifikasi dari Petya, yang menggunakan dua eksploitasi umum untuk versi Windows yang lebih lama: EternalBlue dan Mimikatz.
Yang pertama adalah kunci kerangka digital yang memungkinkan akses jarak jauh pihak luar untuk mengeksekusi kode mereka sendiri. Yang kedua adalah eksploitasi bukti konsep, yang menunjukkan bahwa kata sandi pengguna pada mesin Windows tetap berada di memori dan diekstraksi dari RAM dalam serangan multi-pengguna/multi-mesin tunggal atau otomatis.
Bersama-sama, faktor-faktor ini menjadikan NotPetya senjata yang sempurna. Lagi pula, ini tidak memerlukan tindakan pengguna, seperti Trojan, dan cepat. Bermigrasi secara instan dari satu sistem ke sistem lainnya, dengan akses ke kredensial administrator.
Dua contoh untuk menggambarkan tindakan ini: jaringan bank besar Ukraina mati dalam 45 detik, dan sebagian pusat transit negara itu terinfeksi sepenuhnya dalam 16 detik.
5. Metode penerapan yang membuat penasaran dan mengkhawatirkan.
Seseorang dapat menelusuri NotPetya secara dangkal hingga ke asal-usulnya. Hal itulah yang terjadi pada sebuah perusahaan perangkat lunak kecil milik keluarga Ukraina di Kiev.
Ini melayani organisasi dari semua ukuran di Ukraina dengan perangkat lunak seperti MEDoc (atau MeDoc), yang pada dasarnya adalah “TurboTax” negara itu, yang berfungsi di hampir setiap perusahaan atau pembayar pajak Ukraina.
Akibatnya, kelompok peretas elit yang terkait dengan Kremlin, Sandworm, menargetkan perusahaan perangkat lunak milik keluarga tersebut sebagai bagian dari perang Rusia-Ukraina yang telah berlangsung sejak tahun 2014.
Dan yang diklaim oleh para ahli adalah Sandworm memasang pintu belakang di server perusahaan, tempat mereka menyebarkan perangkat lunak MeDoc yang berisi NotPetya – di mana saja.
Bukan Pembelajaran Petya
Para peneliti mencatat bahwa NotPetya memindai sistem untuk mencari profil tertentu, mengabaikan profil lain, dan tidak menemukan “tombol mematikan”. Hal ini menunjukkan bahwa pihak yang bertanggung jawab rela menghancurkan dan membakar aset bekas sesuka hati.
Tidak diragukan lagi, tindakan-tindakan tersebut telah merugikan banyak aset pihak lain, sehingga menjadi preseden dan mengubah cara pandang dunia terhadap serangan siber.
Menurut Tanium, hal tersebut sudah dicermati malware penghapus baru seperti WhisperGate. Untuk memastikan NotPetya tidak terulang kembali, organisasi perlu melakukan refleksi dan tindakan terhadap kebersihan dunia maya mereka. Artinya, memiliki visibilitas lingkungan TI untuk melindungi apa yang dapat dilihat.
Perusahaan juga disarankan untuk mulai menerapkan manajemen patch otomatis. Hanya satu pintu yang terbuka dapat dengan cepat mengakibatkan hilangnya data permanen, yang berdampak buruk pada keuangan dan melemahkan reputasi.
Dalam kasus terburuk, hal ini tidak hanya dapat menjatuhkan perusahaan, namun seluruh perekonomian, seperti perusahaan logistik yang dilumpuhkan oleh NotPetya.
“NotPetya juga menyoroti perlunya protokol cadangan yang teruji sepenuhnya. NotPetya telah mengajarkan sesuatu kepada organisasi, yaitu menjadi tangguh dan memiliki cadangan rutin.” (Tanium)