ExPetr

Petya ini bukanlah nama mbak-mbak, nama bunga, apalagi nama makanan snack di hari kemenangan. Malware yang disinyalir hasil dari pengembangan Petya versi awal ini sukses membuat aktivis keamanan IT bekerja ekstra di saat kaum muslimin menikmati sajian lebaran di kediaman handai taulan, tepat di hari ketiga Lebaran.

Petya sendiri terdengar pertama kali pada awal 2016 sebagai ransomware yang mengunci Master File Table (MFT) di Master Boot Record (MBR) dan meminta tebusan sebesar hampir 1 BitCoin (BTC). Namun dalam beberapa jam setelahnya telah beredar cara dan metode recovery data-data yang menjadi korban malware ini. Metode penyebarannya pun cukup konvensional, yaitu melalui attachment surel yang apabila di eksekusi akan seolah-olah menginstal sebuah aplikasi HRD, untuk kemudian merestart sistem dan menguncinya.

Malware yang menyebar pada hari Selasa lalu itu awalnya hanya terdeteksi beraksi di sekitar wilayah Ukraina dan Eropa. Versi kali ini ditengarai merupakan versi pengembangan lebih lanjut dari Petya versi 2016. Hal ini terlihat dari metode penyebarannya yang menggunakan EternalBlue-nya NSA sebagaimana WannaCry, ditambah exploit password extractor yang mampu mengekstrak network credencial dari memori sistem, serta PsExec yang bertugas mengeksekusi remote command di sistem lain apabila infected system memiliki hak akses write di jaringan.

Bukan itu saja punchline dari malware yang diberi kode PetyaWrap, ExPetr, atau NoPetya oleh firma-firma keamanan IT ini. Malware ini setelah ditelisik lebih dalam tidak terlihat seperti ransomware pada umumnya.

Pada Petya versi 2016, Installation ID yang ditampilkan dalam pesan si pembuat malware memiliki korelasi langsung dengan encryption key untuk membuka enkripsi terhadap drive tersebut. Namun menurut Anton Ivanov dan Orkhan Mamedov dari Karspesly Lab tidak demikian halnya pada NoPetya ini. Installation ID yang ditampilkan pada halaman notifikasi hanyalah pseudo/random code yang tidak ada kaitannya apapun dengan encryption key. Artinya apa? Artinya adalah bahwa pemilik malware pun tidak dapat menggunakan installation ID tersebut untuk men-generate encryption key yang dibutuhkan korban. Akibatnya adalah pada worst case scenario, korban tidak dapat mendapatkan kembali datanya meskipun telah membayar uang tebusan.

Peneliti keamanan IT dari Comae Technologies, Matt Suiche mengatakan bahwa bila kode ExPetr dan Petya versi 2016 dibandingkan, maka akan terlihat perbedaan mencolok dalam kedua malware ini menangani file Master Boot Record (MBR). Petya 2016 akan mengenkripsi file MBR dan menyimpan nilai decryptor nya sehingga nanti dapat di decrypt kembali. Sedangkan pada ExPetr, file MBR sama sekali ditimpa (overwrite) sehingga tidak memungkinkan untuk merestorenya kembali.  Secara teknis, Suiche menunjuk pada analisa Check Point Software terhadap malware ini dalam ulasannya disini.

Ketiga firma keamanan ini bahkan secara gamblang mengklasifikasikan malware ini sebagai “wiper“, alias penghapusan data total. Korban tidak akan bisa mengembalikan datanya. Kata-kata “ransomware” maupun penggunaan EternalBlue hanya untuk sensasi media, mendompleng viralnya malware WannaCry.

Peneliti independen lain dengan nickname grugq dalam postingannya disini menjelaskan juga bahwa malware ini tidak didesain untuk menghasilkan uang.

Pertama, akun BitCoin yang digunakan sebagai penampung uang tebusan hanya sebanyak satu buah. Hal ini biasanya dihindari pembuat ransomware profesional (yep, there are many pro ransomware maker out there!) karena akan menyulitkan mereka saat akan cashing out uang tebusan yang mereka peras dari korban-korbannya.

Kedua, korban wajib menulis serangkaian kode yang tidak human friendly ke dalam surel yang ditujukan kepada pemilik malware. Single typo karena human error akan menyebabkan gagalnya decrypting dan meningkatkan kemungkinan keengganan korban untuk membayar.

Ketiga, korban juga diwajibkan menghubungi pemilik malware melalui surel. Padahal dengan begitu risikonya cukup tinggi untuk akun email tersebut diblokir. Pada akhirnya memang akun tersebut diblokir dan jelas korban tidak akan membayar sesuatu yang mereka tidak dapat pastikan hasilnya.

Meskipun secara keseluruhan malware ini hampir sempurna; dua fungsi dari NSA yang dilengkapi dengan exploit untuk menyasar network credencial dan disebarkan pada tahap awal dengan mendompleng dokumen perpajakan khusus untuk Ukraina,  amat kecil kemungkinan ketiga hal diatas adalah sebuah kesalahan yang tidak disengaja oleh pembuatnya. Grugq menegaskan bahwa malware ini didesain untuk menyebar dengan cepat dan memberikan kerusakan parah terhadap targetnya, dengan tedeng seolah-olah adalah ransomware.

Teori ini juga disampaikan di Wired, bahwa pemerintah Ukraina meyakini adanya dukungan dari negara lain dibalik serangan siber hari Selasa lalu itu. Selengkapnya dapat dibaca disini.

Pertanyaannya sekarang adalah, apakah Indonesia bisa menjadi target serangan serupa? Dan siapkah kita menanggulangi potensi ancaman tersebut?

Ikuti terus informasi mengenai Petya ini melalui tagar #Petya #NoPetya.