Jika kamu mengikuti berita ini, sekarang kamu mungkin sadar bahwa periset keamanan telah mengaktifkan ‘Kill-Switch’ untuk menghentikan ransomware WannaCry agar tidak menyebar. Namun ternyata ini belum berakhir, dalang dibalik penyebaran ransomware ini baru saja meluncurkan WannaCry versi 2.0 tanpa fungsi ‘Kill-Switch’.


Kali ini dilaporkan bahwa WannaCry telah menginfeksi lebih dari 213.000 komputer di 99 negara di seluruh dunia hanya dalam dua hari terakhir. Dan sekarang WannaCry versi 2.0 ini dapat mengambil alih ratusan ribu komputer yang tidak dipakai tanpa gangguan.

Bagi mereka yang tidak sadar, WannaCry adalah malware ransomware yang sangat cepat menyebar yang memanfaatkan eksploitasi Windows SMB untuk menargetkan komputer yang menjalankan OS Windows yang unpatched atau sudah tidak didukung lagi oleh pihak Microsoftnya dan kemudian menyebar sendiri seperti worm untuk menginfeksi sistem rentan lainnya di jaringan internal.

Setelah menginfeksi, WannaCry juga memindai komputer rentan lainnya yang terhubung ke jaringan yang sama, sekaligus memindai host acak di Internet yang lebih luas, untuk menyebar dengan cepat.

Eksploitasi SMB, yang saat ini digunakan oleh WannaCry, telah diidentifikasi sebagai EternalBlue, kumpulan tool hacking yang diduga dibuat oleh NSA dan kemudian di-dump oleh kelompok hacking yang menamakan dirinya “The Shadow Brokers” lebih dari sebulan yang lalu.

Jika NSA secara pribadi mengungkapkan kelemahan yang digunakan untuk menyerang rumah sakit ketika mereka menemukannya bukan saat mereka kehilangannya, ini mungkin tidak terjadi,” kata whiterblower NSA, Edward Snowden.

Masih belum berakhir, WannaCry versi 2.0 sedang berkeliaran berburu mangsa!


Dalam artikel-artikel sebelumnya, kami mengumpulkan lebih banyak informasi tentang peluncuran ransomware besar ini, yang juga menjelaskan bagaimana peneliti yang dikenal sebagai MalwareTech tidak sengaja menghentikan penyebaran WannaCry secara global dengan mendaftarkan nama domain yang tersembunyi di malware, namun tidak memperbaiki komputer yang sudah terinfeksi.

Jika kamu berpikir bahwa mengaktifkan ‘Kill-Switch’ benar-benar menghentikan infeksi, maka kamu salah, karena kali ini penyerang menyadari hal ini, dan mereka kembali dengan versi yang baru.

Costin Raiu, direktur tim riset dan analisis global di Kaspersky Labs telah mengkonfirmasi peluncuran ransomware WannaCry versi 2.0 tanpa fungsi ‘Kill-Switch’.

Saya bisa memastikan bahwa kami memiliki versi WannaCry tanpa koneksi kill switch pada hari kemarin,” kata Raiu kepada Motherboard.

Jadi, gelombang baru dari serangan ransomware varian WannaCry yang diperbarui akan sulit dihentikan, kecuali sampai semua sistem yang rentan sudah dipatch.

Bahkan setelah WannaCry menjadi berita utama di seluruh internet dan media, namun masih ada ratusan ribu sistem yang belum menerapkan patch yang tersedia terbuka ke Internet.




Worm ini dapat dimodifikasi untuk menyebarkan muatan lainnya bukan hanya WannaCry saja dan kami mungkin akan melihat peluncuran malware lainnya yang membabi buta dari keberhasilan sampel ini. kata Matthew Hickey dari Hacker House.
Jadi, strain baru dari WannaCry 2.0 tidak akan memakan banyak waktu untuk mengambil alih sistem dan juga sistem lainnya yang terhubung ke jaringan lokal yang sama.

Kamu harus tahu bahwa ‘Kill-Switch’ tidak akan mencegah PC yang belum dipakai terinfeksi, dalam skenario berikut:
  • Jika kamu menerima WannaCry melalui email, torrent berbahaya, atau vektor lainnya (bukan protokol SMB).
  • Jika kebetulan ISP atau antivirus atau firewall memblokir akses ke domain sinkhole.
  • Jika sistem yang ditargetkan membutuhkan proxy untuk mengakses Internet, yang merupakan praktik umum di sebagian besar jaringan perusahaan.
  • Jika seseorang membuat domain sinkhole tidak dapat diakses untuk semua orang, seperti dengan menggunakan serangan DDoS skala besar.
MalwareTech juga mengkonfirmasi bahwa beberapa “peluncuran Mirai botnet untuk mencoba DDoS server [sinkhole] untuk lulz,” agar tidak dapat digunakan untuk mengeksploitasi WannaCry SMB, yang memicu infeksi jika koneksi gagal. Tapi “semua itu gagal total,” setidaknya untuk saat ini.


Instal Security Patch & Disable SMBv1
MalwareTech juga memperingatkan: “Sangat penting [bagi] semua orang untuk mengerti bahwa yang mereka [penyerang] perlu lakukan adalah mengubah beberapa kode dan mulai lagi. Patch sistem kamu sekarang juga!

Seperti yang kami informasikan, Microsoft mengambil langkah yang tidak biasa untuk melindungi pelanggannya yang menjalankan versi Windows unsupported, termasuk Windows XP, Vista, Windows 8, Server 2003 dan 2008, dengan merilis patch keamanan yang memperbaiki kerentanan SMB yang saat ini dieksploitasi oleh ransomware WannaCry.

Bahkan setelah ini, saya yakin, banyak orang tetap tidak menyadari adanya patch baru dan banyak organisasi yang masih menjalan versi Windows jadul atau yang tidak diperbarui, yang masih mempertimbangkan untuk meningkatkan sistem operasi mereka yang akan memakan waktu dan akan menghabiskan biaya untuk mendapatkan lisensi baru.

Jadi, pengguna dan organisasi sangat disarankan untuk memasang patch Windows yang tersedia sesegera mungkin, dan juga pertimbangkan untuk menonaktifkan SMBv1 (ikuti langkah-langkah ini), untuk mencegah serangan cyber serupa di masa mendatang.

Sudah dikabarkan juga hampir semua vendor antivirus telah menambahkan signature untuk melindungi dari ancaman terbaru ini. Pastikan kamu menggunakan antivirus yang bagus, dan tetap up-to-date.

Selain itu, kamu juga dapat mengikuti beberapa praktik keamanan dasar yang telah saya cantumkan di artikel sebelumnya untuk melindungi diri dari ancaman ransomware WannaCry ini.