TEMPO.CO, Jakarta - Serangan yang dilakukan teroris cyber yang mengatasnamakan Shadow Brokers, dengan menyebarkan virus Ransomware Wannacry ke lebih dari 99 negara berdampak lumpuhnya sejumlah fasilitas publik, termasuk rumah sakit.
Pada dasarnya, virus yang digunakan Shadow Brokers adalah jenis yang sudah lama menyerang sistem operasi, khususnya sistem operasi Windows.
Baca: Peneliti MalwareTech Hentikan Peretasan Massal
Ketua Lembaga Riset Keamanan Cyber dan Komunikasi CISSReC, Pratama D. Persadha mengatakan bahwa virus tersebut menyerang menggunakan Zero Day Ezploit yang belum pernah diketahui sebelumnya.
“Artinya, saat pertama kali ransomware ini menyerang, sebenarnya Microsoft yang ter-update pun akan tetap terkena, karena Microsoft sendiri belum mengetahui adanya celah keamanan ini sampai dengan celah itu dipublikasikan,” kata dia melalui siaran pers pada Minggu, 14 Mei 2017.
Menurut Pratama, akan ada jeda waktu antara saat Ransomware menyerang dengan waktu saat Microsoft mengetahui Vulnerability ini dan melakukan Patching terhadapnya. Eksploit yang digunakan sendiri dibocorkan oleh grup hacker "hadow Broker.
Mereka diketahui pertama kali merilis "Equation Group Cyber Weapons Auction - Invitation" pada Agustus 2016 berisi tools yang diduga digunakan oleh NSA. Kelompok ini pada 14 April 2014 juga merilis Fifth Leak: "Lost in Translation", satu di antaranya berisikan eksploit yang digunakan oleh Wannacry untuk menginfeksi korban.
“Tindakan preventif yang bisa dilakukan adalah selalu melakukan perbaruan atau update serta backup data, merupakan hal yang wajib dilakukan agar terhindar dari malware, baik ransomware, virus, ataupun trojan,” tutur dia.
Dia menyarankan agar melakukan Hardening terhadap sistem yang digunakan dan matikan layanan yang tidak diperlukan. Kemudian hindari sembarangan mengklik link-link atau file yang dikirimkan oleh pihak yang tidak dikenal. Sebuah ransomware sebagian besar akan menunjuk ke suatu link, yang kemudian meminta untuk men-download software.
Baca: Heboh Peretasan Massal di 99 Negara, Pakai Program Punya NSA?
Teknik lain yang dilakukan adalah dengan menyisipkan ransomware ke dalam file-file dokumen. “Selalu periksa software-software dan dokumen-dokumen yang diunduh, pastikan pengirim merupakan pengirim yang benar-benar dikenal.”
Pratama mengatakan cara kerja sebagian besar Ransomware yang disisipkan ke dalam file dokumen, membutuhkan macro untuk mengeksekusi atau mengaktifkan Ransomware. Secara default Microsoft sebenarnya men-nonaktifkan macros. Namun, banyak sekali pengguna yang tertipu mengaktifkan macros karena social engineering dari pembuat ransomware.
Pratama menambahkan bahwa admin IT di setiap instansi apapun harus segera lakukan update seluruh komputer ataupun server yang berada di jaringan. Lalu melakukan vulnerability scanning terhadap komputer-komputer jaringan.
“Jika ditemukan komputer yang mempunyai kelemahan segera lakukan mitigasi dengan memutusan koneksi dari komputer tersebut, dan sambungkan lagi setelah dilakukan patching atau update. Juga komputer yang terkena ransomware agar dipisahkan dari jaringan, agar tidak menyebar,” ucapnya.
Pratama juga menjelaskan bahwa management privilege harus dilakukan secara hati-hati. Jangan berikan akses administrator sistem kepada user jika memang tidak benar-benar diperlukan. Hal ini dikarenakan sebagian besar ransomware membutuhkan privilege admin untuk mengeksekusi eksploit secara otomatis.
Baca: Situs Berita Tempo.co Diretas, Peretas Bawa Nama Rizieq
Tak kalah penting gunakan mail security, agar email-email yang masuk ke user dapat dilakukan spam filtering dan antivirus checking. Akan lebih ideal jika diintegrasikan dengan IPS, firewall, dan peralatan security lainnya.
AVIT HIDAYAT
