Kominfo pantau ancaman ransomware Petya

Rudiantara menjelaskan soal Petya (Foto:Kominfo)

JAKARTA (IndoTelko) - Kementrian Komunikasi dan Informatika (Kominfo) terus memantau dan memitigasi pergerakan dari penyebaran virus Petya di Indonesia.

Petya adalah program virus ransomware yang bekerja sangat berbeda dari malware ransomware lainnya. Tidak seperti ransomware tradisional lainnya, Petya tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.

Namun justru sebaliknya, ‘Petya’ akan me-reboot system dan membajak komputer, serta mengenkripsi tabel file master hard drive (master file table-MFT) dan membuat master boot record (MBR) tidak dapat dioperasikan, membatasi akses ke sistem penuh dengan menyita informasi tentang nama file, ukuran, dan lokasi pada disk fisik. Saat ini dalam skala global sedang terjadi serangan virus ransomware PETYA ini.

"Notifikasi telah dikeluarkan oleh ID-SIRTII (organisasi yang diampu oleh Kementerian Kominfo yang antara lain untuk menangani insiden seperti serangan siber) kepada para mitra yang bekerjasama seperti penyelenggara jasa akses Internet, Penyelenggara NAP, dan juga kepada Kementerian/Lembaga serta pelaku pelayanan publik di sektor strategis, antara lain sektor telekomunikasi, sektor keuangan, sektor transportasi dan daya dukung transportasi dan sektor ESDM," ungkap Menkominfo Rudiantara, di Jakarta, Jumat (30/6).

Disarankannya, masyakarat yang memiliki komputer melakukan antisipasi serangan PETYA, sebelum mengaktifkan komputernya, agar melakukan back up data. Sementara kepada pengelola Teknologi Informasi di berbagai Institusi diminta Rudiantara menonaktifkan atau mencabut jaringan Lokal/LAN sementara sampai dipastikan semua aman dan melakukan back up data ke storage terpisah. 

Sedangkan kepada penyedia layanan publik kepada masyarakat dan khususnya yang menunjang layanan mudik lebaran 2017 agar terus menjaga kewaspadaan sistem elektroniknya dari walware. Permintaan juga ditujukan ke pengatur sektor dan pelaku sektor pada sektor-sektor strategis nasional lainnya.

"Agar mulai sekarang dilakukan pengecekan kembali tatakelola manajemen data dan informasi terkait dengan mekanisme recovery dan juga berkenaan dengan identifikasi, klasifikasi dan otorisasi pemakaian data," tukasnya.

Wakil ID-SIRTII Bisyron Wahyudi menyampaikan sebagai tim penanganan insiden siber sudah melakukan melakukan komunikasi secara intensif dengan pihak-pihak counterpart di luar negeri dan memberikan peringatan dini (early warning) kepada pihak-pihak terkait terutama pemangku infrastruktur kritis atau objek vital nasional," katanya.

Secara terpisah, Threat Lab Team Lead Avast Jakub Kroustek menemukan bahwa Ransomware yang menyerang adalah suatu modifikasi dari Petya.  Ransomware ini adalah malware yang berbeda yang melanggar kode Petya, menambah dan menggunakannya kembali untuk tujuan pemerasan. Avast menyebutnya "Ransomware berbasis Petya".  Dilampirkan juga target Petya Ransomware berdasarkan sistem operasi PC.

"Kami yakin ini adalah contoh lain dari ransomare berbasis Petya, yang pertama kali diidentifikasi pada tahun 2016.  Beberapa bulan yang lalu, kami melihat ransomware Petya yang di patch dan di bundling dalam strain malware yang berbeda yang disebut PetrWrap.  Serangan tersebut tampaknya telah menyebar dan insidennya telah dilaporkan di Rusia, India, Perancis, Spanyol dan juga Belanda,  dan mereka yang berada dibalik serangan tersebut menuntut uang tebusan sebesar $300 yang dibayarkan dalam cryptocurrency, Bitcoin," katanya.

Diungkapkannya, modifikasi Petya ini tampaknya menyebar dengan menggunakan kerentanan EternalBlue dan merupakan kerentanan yang sama yang digunakan untuk menyebarkan WannaCry.  

"Kami telah meihat 12.000 upaya dilakukan oleh malware untuk mengeksploitasi EternalBlue, yang telah kami deteksi dan blokir.  Data dari Avast's Wi-Fi Inspectors, yamg memindai jaringan dan dapat mendeteksi apakah PC Avast atau PC lain yang terkoneksi ke jaringan  yang sama yang berjalan dengan kerentanan EternalBlue, menunjukkan bahwa 38 juta PC yang dipindai minggu lalu belum menambal/mem-patch sistem mereka dan menjadi rentan.  Jumlah PC rentan sebenarnya mungkin jauh lebih tinggi," paparnya.  

Direkomendasikannya pengguna windows, terlepas apakah konsumen atau pengguna bisnis, untuk memperbarui sistem mereka dengan patch yang tersedia sesegera mungkin, dan memastikan perangkat lunak antivirus mereka juga terbaru.  

"Meskipun kita tidak tahu siapa yang berada dibalik serangan cyber spesifik ini, kita tahu bahwa salah satu karakteristik mengerikan dari paket uang asuransi Petya adalah bahwa penciptanya menawarkannya di darknet dengan model afiliasi yang memberi pangsa distributor hingga 85% dari jumlah tebusan yang dibayar.  Sementara 15% nya disimpan oleh penulis malware.  Penulis malware menyediakan  seluruh infrastruktur, server C&C, dan metode pengiriman uang.  MOdel jenis ini disebut "ransonmare as a service atau RaaS, yang memungkinkan pembuat malware untuk mengatur pelanggan cerdas non teknologi untuk mendistribusikan uang tebusan mereka," pungkasnya.(ak)