TEMPO.CO, San Francisco - Serangan ransomware global kemarin sangat menakutkan karena beberapa alasan, namun tindakan cepat oleh seorang peneliti keamanan di MalwareTech setidaknya mengakhiri penyebarannya, meskipun peneliti tersebut tidak menyadarinya pada saat itu, sebagaimana dikutip Techcrunch, Sabtu 13 Mei 2017.
Baca: Heboh Peretasan Massal di 99 Negara, Pakai Program Punya NSA?
Program komputer malware ini mengunci ribuan komputer di banyak negara dan menyandera data mereka dengan tebusan sekitar US$ 300, atau sekitar Rp 4 juta, yang harus dibayarkan melalui Bitcoin.
Sekitar 99 negara dilaporkan diserang malware yang juga dikenal dengan WannaCry ini. Di antaranya Inggris, Amerika Serikat, Cina, Rusia, Spanyol, dan Italia. Perusahaan keamaan siber, Avast, mencatat ada 75 ribu kasus ini di seluruh dunia, terutama komputer berbasis sistem operasi Windows. "Ini sangat massif," kata Jakub Kroustek dari Avast.
Peretasan itu menggunakan eksploitasi catatan NSA oleh Shadow Brokers bulan lalu. Pertasan ini berpotensi menyebar dengan cepat dan luas, seperti yang telah terjadi, dan dengan demikian menarik perhatian orang-orang TI yang ingin menghentikan dan mempelajarinya.
Muatan berisi beberapa kode yang menanyakan domain tertentu yang diketahui oleh penulis akan dibuat tidak terdaftar. Hal ini dilakukan karena beberapa lingkungan jaringan, seperti yang mengandung VM akan mempelajari kode berbahaya, akan menangkap semua data yang keluar, seperti upaya untuk terhubung ke sebuah domain, dan mengembalikan trafik yang dipilih.
“Ransonware itu ingin menghindari pengaktifan dirinya di lingkungan seperti ini, jadi dirancang untuk melakukan ping ke domain yang tidak terdaftar,” ujar afn38sj729.com, sebagaimana dikutip Techcrunch. “Dan jika membalas semua, kecuali DNS, kemungkinan lalu lintasnya dimanipulasi, jadi itu dimatikan untuk menghindari analisis lebih lanjut.”
Peneliti keamanan itu melihat bahwa ransomware yang memanggil domain tak terdaftar ini, segera mendaftarkannya sehingga mereka dapat memantau trafiknya. Mereka pikir hal itu hanya akan membantu melacak penyebarannya, namun sebenarnya dengan mendaftarkan domain tersebut mereka secara efektif membunuh keseluruhan serangan tersebut.
Baca: Situs Berita Tempo.co Diretas, Peretas Bawa Nama Rizieq
Karena kini ketika kode tersebut di-ping, maka ditolak karena terdaftar, dan karena itu ransomware tidak akan pernah mengaktifkan dirinya sendiri! Para peneliti itu tidak menyadari hal ini.
Ini mungkin kebetulan, tapi pendaftaran itu merupakan hal yang benar yang dilakukan oleh penelit tersebut, yang mungkin merupakan server komando dan kontrol, atau ini mungkin merupakan sebuah “kill switch” yang tidak bisa didebatkan hasilnya. Sayangnya, hal ini tidak membantu orang yang sudah terkena ransomware itu, namun hal ini setidaknya mencegahnya disebar lebih jauh.
TECHCRUNCH | ERWIN Z
