Indonesia ikut geger hanya berselang satu hari setelah dunia dihebohkan dengan ransomeware (malware penyandera file dengan tehnik enkripsi) bernama WannaCry (WannaCrypt), saya singkat WC. Cukup luar biasa karena biasanya serangan atau kejahatan siber membuat geger Indonesia setelah beberapa bulan atau beberapa tahun.
Sejak Sabtu 13 Mei 2017, XecureIT dihubungi beberapa pelanggan korporat terkait isu WC. Sampai hari Minggu pagi 14 Mei 2017, saya terhenyak karena ternyata hampir semua yang menghubungi kami menyatakan akan melakukan langkah-langkah pencegahan pada hari Senin. Sehingga XecureIT Security Incident Response Team (XSIRT) memutuskan untuk mengadakan XSIRT Emergency Technical Coordination Meeting (TCM) pada hari Minggu malam.
Setelah berkoordinasi dengan teman-teman di Kemenkominfo dan Cyber Defense Kemhan, akhirnya diputuskan, sebaiknya dilaksanakan Emergency TCM di Kemenkominfo agar dapat mengundang pemangku kepentingan yang lebih luas lagi. Walaupun undangan rapat di hari libur dikirimkan mendadak, namun mendapat tanggapan sangat baik. Rapat dihadiri oleh sekitar 70 orang dari berbagai sektor dari perkiraan awal hanya sekitar 40 orang. Dirjen APTIKA Semuel Pangerapan sempat mengutarakan bahwa hal ini membuktikan bangsa Indonesia sangat peduli terhadap kepentingan nasional, terutama dalam kondisi mendesak.
Emergency TCM dirasa mendesak karena proses pencegahan HARUS dilakukan sebelum karyawan beraktifitas Senin pagi. Malware WC tidak menargetkan sistem atau industri tertentu secara khusus. Sehingga berpotensi menginfeksi sistem-sistem penunjang kehidupan di rumah sakit, bandara dan transportasi lainnya, kontrol distribusi energi dan migas, peralatan tempur, ATM perbankan, dan lain-lain.
Karena sudah banyak informasi teknis dan non-teknis tentang WC di Internet, saya akan membahas beberapa informasi (teknis) yang masih jarang atau belum dibahas terkait pencegahan infeksi WC dilingkugan jaringan perusahaan:
1. WannaCry menyebar (sangat) cepat dan (dapat) melumpuhkan jaringan.
Ransomeware bukan hal baru, namun mayoritas ransomeware menyebar dengan bantuan manusia, contoh membuka lampiran surel atau mencolokan USB yang terinfeksi. Hal mematikan dari WC adalah selain menyebar melalui cara konvensional, WC juga menyebar melalui jaringan. WC secara otomatis, tanpa bantuan manusia, memperbanyak dirinya dengan menyerang komputer apapun yang memiliki celah keamanan dengan kode (Microsoft Security Bulletin) MS17-010 yang berdampak pada hampir seluruh sistem operasi MS Windows. Sehingga selain menyandera file, WC juga dapat menurunkan kinerja jaringan secara signifikan. Bahkan jika berkaca pada malware-malware jaringan sebelumnya, proses penyebaran WC berpotensi melumpuhkan jaringan.
2. Ke(tidak)efektifan WannaCry Killswitch
Alamat www dot iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea dot com merupakan WC Killswitch. Maksudnya, jika malware WC dapat mengakses nama domain tersebut, maka proses infeksi WC akan berhenti. Namun disayangkan bahwa WC tidak bisa mendeteksi keberadaaan Killswitch jika komputer korban berada dibelakang HTTP proxy, sehingga proses infeksi terus berlanjut. Kabar buruk lainnya, WannaCry2.0 yang terdeteksi hari Sabtu malam / Minggu pagi, tidak memiliki fungsi Killswitch.
3. Infeksi Network Drive pada Server Non MS Windows, misal: F:\, G:\, H:\, ...
Bagaimana kalau pakai Network Attach Storage (NAS), file sharing atau file server yang berbasis Linux (non MS Windows)?