pulsa-logo

SophosLabs: Ancaman WannaCry Tetap Merajalela


Fauzi

Rabu, 25 September 2019 • 11:34

Sophos,WannaCry


Ilustrasi, Image: ISTIlustrasi, Image: IST

Sophos mempublikasikan WannaCry Aftershock, sebuah laporan mengenai malware WannaCry yang begitu populer setelah memulai serangannya di seluruh dunia pada 12 Mei 2017.

Meski serangan pertamanya sudah dimulai sejak 2 tahun yang lalu, penelitian yang dilakukan SophosLabs ini melaporkan bahwa ancaman WannaCry tetap merajalela. Tiap bulan, jutaan percobaan serangannya memang dapat dihentikan, namun malware aslinya belum juga diperbarui sehingga ribuan varian yang berumur pendek masih bisa bergerak bebas di ‘alam liar’.

Sebanyak 4.3 juta infeksi WannaCry di seluruh dunia dapat dihentikan oleh Sophos – Protected Endpoints pada bulan Agustus 2019, dimana 6.8 persen infeksi tersebut berada di Indonesia.

Beberapa negara di Asia juga masuk ke dalam 10 negara teratas yang serangan WannaCry-nya berhasil diamankan oleh Sophos-Protected Endpoints pada bulan Agustus 2019. Negara-negara tersebut antara lain, India yang berada di peringkat kedua (setelah AS) dengan angka mencapai 8,8 persen serangan. Kemudian Indonesia di urutan kelima (6,8 persen) dan Filipina (5,8 persen) urutan ketujuh. Singapura sendiri berada di peringkat kesembilan (4,1 persen). Lalu Tiongkok yang berada pada peringkat 10 dengan 3,5 persen serangan.

Ancaman WannaCry yang terus berlanjut ini sebagian besar disebabkan oleh versi-versi barunya yang memiliki kemampuan memotong 'kill switch'. Namun, ketika para peneliti Sophos menganalisis dan mengeksekusi beberapa sampelnya, mereka menemukan bahwa kemampuan untuk mengenkripsi data telah dinetralkan sebagai hasil dari korupsi kode.

Cara WannaCry menginfeksi korban baru adalah dengan memeriksa dan melihat apakah komputer tersebut sudah terinfeksi dan bila sudah terinfeksi maka WannaCry akan pindah ke target lain. Jadi infeksi oleh malware versi inert secara efektif melindungi perangkat agar tidak terinfeksi oleh strain aktif. Singkatnya, versi baru malware ini menjadi vaksin yang tidak disengaja. Seperti halnya vaksin, malware ini menawarkan semacam kekebalan dari serangan berikutnya oleh malware yang sama kepada komputer yang masih rentan.

Namun, komputer yang sejak awal seharusnya sudah ter-install patch yang dapat melindungi dari serangan WannaCry kenyataannya belum di-install - patch yang telah dirilis lebih dari dua tahun lalu ini.


Malware WannaCry orisinil hanya terdeteksi sebanyak 40 kali. Hingga saat ini, para peneliti SophosLabs telah mengidentifikasi 12.480 varian kode asli. Pemeriksaan lebih dekat terhadap lebih dari 2.700 sampel (98 persen terdeteksi) mengungkapkan bahwa mereka semua telah berevolusi untuk memotong 'kill switch'–URL spesifik yang apabila malware tersebut terhubung maka secara otomatis akan mengakhiri proses infeksi–dan semuanya memiliki komponen ransomware yang rusak dan tidak dapat mengenkripsi data.

Peneliti Sophos juga telah melacak kemunculan pertama dari versi korup yang telah tersebar luas saat inidua hari setelah serangan awal: 14 Mei 2017, yaitu ketika diunggah ke VirusTotal, namun belum terlihat di ‘alam liar’.

“Wabah WannaCry 2017 telah mengubah lanskap ancaman selamanya. Penelitian kami menyoroti banyak komputer yang masih belum terpasang patch di luar sana dan apabila para pengguna yang belum meng-install pembaruan yang telah di rilis lebih dari dua tahun yang lalu maka ada berapa banyak patch lain yang telah dilewatkan? Dalam hal ini, beberapa korban beruntung karena jenis malware bisa berfungsi sebagai imun terhadap versi yang lebih baru. Tetapi sebaiknya organisasi atau perusahaan tidak boleh bergantung pada kondisi tersebut. Seharusnya, standar praktik harus menjadi kebijakan dalam memasang patch, kapan pun patch tersebut diterbitkan, serta menyediakan solusi keamanan yang kuat mencakup semua endpoint, jaringan, dan sistem,” ujar Peter Mackenzie, Security Specialist, Sophos yang juga penulis utama penelitian ini. (Ozi)

Sumber: PR