Intel AS di Balik "Ransomware" yang Menyerang Rumah Sakit Indonesia

KOMPAS.com - Sebuah ransomware baru menyebar luas dalam waktu singkat dan menimbulkan kehebohan di seluruh dunia pada akhir pekan ini. Program jahat bernama WannaCry alias Wanna Decryptor tersebut bahkan dilaporkan turut menumbangkan sistem komputer di rumah sakit di Indonesia.

Ransomware adalah kategori program jahat (malware) yang mengunci data di komputer dengan enkripsi, lalu berusaha memeras korban dengan meminta tebusan. Usai tebusan dikirim, barulah kunci ekripsi diberikan si pembuat ransomware untuk membuka kembali data di komputer korban.

Itu pula yang dilakukan oleh ransomware bernama WannaCry. Si program jahat meminta tebusan sebesar Rp 4 juta dalam bentuk mata uang virtual (cryptocurrency) Bitcoin yang dikirimkan ke alamat dompet digital sang penjahat cyber. Setelah tebusan dikirimpun, tak ada jaminan bahwa kunci enkripsi akan benar-benar dikirimkan ke korban.

Baca: Rumah Sakit di Jakarta Disandera “Virus" Komputer, Minta Tebusan Rp 4 Juta

Praktisi keamanan cyber Alfons Tanujaya dari Vaksinkom mengatakan WannaCry bisa menyebar luas dalam waktu singkat karena memiliki keunikan dibanding program jahat lain sejenisnya.

Ransomware pada umumnya mengandalkan teknik phising di mana calon korban harus meng-klik sebuah tautan untuk mengunduh ransomware, misalnya di e-mail. Apabila tautan tidak di-klik, maka ransomware tidak akan menginfeksi komputer.

Beda halnya dengan WannaCry. Ransomware yang satu ini dibuat dengan menggunakan tool senjata siber dinas intel Amerika Serikat, NSA, yang dicuri dan dibocorkan grup hacker bernama Shadow Broker pada April lalu.

“WannaCry mengeksploitasi celah keamanan Windows, MS 71-010. Dia akan scan port 445 (SMB). Kalau terbuka, dia akan langsung masuk,” ujar Alfons ketika dihubungi KompasTekno, Sabtu (13/5/2017), menjelaskan cara kerja sang ransomware yang menggunakan tool senjata cyber NSA.

Dengan kata lain, WannaCry bisa menginfeksi komputer lain secara otomatis lewat jaringan, tanpa butuh campur tangan korban yang tertipu meng-klik tautan berbahaya seperti dalam teknik phising radi.

Gara-gara tidak update

Celah keamanan yang dieksploitasi oleh WannaCry dikenal dengan isitilah “EternalBlue”. Exploit NSA inilah yang dibocorkan oleh kelompok hacker Shadow Broker, lalu kemudian dikembangkan menjadi ransomware. WannaCry menginfeksi komputer lewat eksekusi remote code SMBv1 di sistem operasi Microsoft Windows.

Sebelum dibocorkan oleh Shadow Broker, EnternalBlue sudah sering dipakai oleh NSA untuk mengendalikan komputer sasaran dari jarak jauh secara remote. Exploit ini bisa dipakai menyerang komputer yang menjalankan Windows XP hingga Windows Server 2012.

Alfons mengatakan celah keamanan ini sebenarnya sudah diketahui dan ditambal oleh Microsoft melalui patch Windows pada Maret 2017 lalu. Patch yang bersangkutan ditandai “sangat penting” (critical) karena mengandung perbaikan untuk kelemahan fatal di atas.

Sayangnya, lanjut Alfons, ada saja pengguna, institusi, atau perusahaan yang belum memasang update ini karena berbagai alasan. Fitur automatic update yang idealnya terus dinyalakan malah dimatikan karena berbagai sebab, entah karena komputer tidak boleh restart atau sebab lain.

“Kalau OS (Windows) belum di-patch, maka tanpa perlu bantuan klik sekalipun WannaCry akan secara otomatis aktif dan menginfeksi sistem,” kata Alfons.

Begitu berhasil masuk ke sebuah komputer, WannaCry bisa menyebar dengan cepat ke komputer lain di lingkungan yang sama, misalnya di sebuah perusahaan. Seperti dijelaskan secara terpisah oleh firma keamanan Eset, WannaCry juga dibekali worm untuk memfasilitasi penyebarannya.

“Proses penyebaran masif disebabkan juga oleh agresifitas ransomware yang terus bekerja secara terstruktur. Misalnya, apabila satu komputer perusahaan sudah terinfeksi oleh WannaCry, worm pada ransomware akan mencari sendiri komputer yang rentan untuk diinfeksi,” papar Eset dalam keterangan tertulis yang diterima KompasTekno.

Para peneliti keamanan masih coba mencari tahu bagaimana cara WannaCry menginfeksi komputer pertama (initial infection vector) sebelum menyebar luas di jaringan lokal.

99 negara jadi korban

Berbekal teknologi tool cyber NSA, WannaCry berhasil menyebar luas ke berbagai belahan dunia hanya dalam kurun waktu kurang dari dua hari sejak Jumat (12/5/2017) kemarin. Firma keamanan Avast mencatat bahwa ransomware ini telah menyerang puluhan ribu komputer di 99 negara di semua benua.

Di Inggris, 16 rumah sakit yang tergabung dalam jaringan National Health Service menjadi korban WannaCry. Ransomware itu mengganggu pelayanan kesehatan karena sistem-sistem komputer yang menyimpan rekam medis pasien jadi tidak bisa diakses.

Baca: "Malware" Menyandera Belasan Rumah Sakit, Minta Tebusan Bitcoin

WannaCry juga dilaporkan telah masuk ke Indonesia dan mulai menginfeksi sistem komputer di beberapa rumah sakit. “Memang dari statistik yang banyak jadi korban itu jasa layanan kesehatan,” kata Alfons.

Pantauan KompasTekno, di Twitter beredar foto komputer sistem antrian di salah satu rumah sakit di Jakarta tak bisa berfungsi karena terinfeksi WannaCry. Akibatnya, antrian pasien pun jadi macet karena tidak bisa mengambil nomor antrian.

Komputer rumah sakit di Indonesia yang menjadi korban hanya menampilkan prompt (ransom note) di layar. Isinya memberitahukan bahwa komputer telah dikunci ransomware dan data di dalamnya hanya bisa diakses kembali kalau korban membayar uang tebusan yang diminta, sebanyak Rp 4 juta dalam bentuk Bitcoin.

Ransom note tersebut ditulis dalam bahasa Indonesia karena WannaCry memang mampu menampilkan nota dalam lebih dari 25 bahasa, untuk keperluan menyasar korban di negara-negara berbeda.

Alfons mencatat bahwa sehari lalu WannaCry sempat terdeteksi di 108.786 alamat IP. Dengan kata lain, ada komputer sejumlah itu yang terinfeksi. Namun, belakangan angkanya menurun menjadi hanya 1.260 beberapa jam sebelum artikel ini dipublikasikan.

Menurut Alfons, penurunan angka infeksi tersebut karena WannaCry sekarang sudah menonaktifkan dirinya sendiri lewat killswitch yang dipasang si pembuat.

“Dengan non-aktif artinya WannaCry tidak mencari korban baru lagi,” ujar Alfons, sambil menambahkan bahwa komputer yang terlanjur terinteksi tetap tersandera dan tidak bisa mengakses data.