Penanggung Jawab Serangan Ransomware Siap Jual Lebih Banyak Lagi Kode

Seorang pasien berusaha untuk tidur sejenak di kursi rodanya sambil menunggu pasien lainnya di meja pendaftaran di RS Kanker Dharmais sebagai salah satu rumah sakit yang sistem informasinya terinfeksi oleh serangan siber ransomware. Jakarta, Senin, 15 Mei 2017 (foto: AP Photo/Dita Alangkara)

Kelompok peretas yang bertanggung jawab atas serangan malware WannaCry menyatakan mereka masih memiliki lebih banyak kode yang rencananya akan dijual lewat layanan berlangganan yang akan diluncurkan bulan depan.

Kelompok peretas yang berada di belakang bocornya piranti mata-mata siber dari Badan Keamanan Nasional AS, yang digunakan dalam serangan siber “ransomware” pekan lalu, mengatakan, mereka masih memiliki lebih banyak kode yang rencananya akan dijual lewat layanan berlangganan yang akan diluncurkan bulan depan.

Kelompok yang dikenal sebagai Shadow Brokers (Pialang Bayangan)​mengunggah sebuah pernyataan online hari Selasa yang menyatakan kiriman data baru ini termasuk cara untuk mengeksploitir sistem operasi Microsoft Windows 10, dan untuk penjelajah web dan telepon selular, selain juga “data jaringan program nuklir dan program rudal dari Rusia, China, Iran atau Korea Utara yang telah berhasil diretas.”

Shadow Brokers tahun lalu mengalami kegagalan dalam percobaan mereka untuk melelang piranti siber yang menurut mereka dicuri dari NSA.

Virus ransomware yang dikenal sebagai WannaCry mengeksploitir kerentanan dalam sistem operasi WindowsXP milik Microsoft yang sudah lama. Perusahaan tersebut telah berhenti menawarkan dukungan teknis seperti pembaharuan fitur keamanan untuk Windows XP, namun merilis tambalan untuk melindungi para pengguna dari serangan yang menuntut orang untuk membayar agar data mereka tidak dihapus.

Belum ada bukti yang pasti siapa ang menggunakan piranti-piranti milik NSA untuk membuat WannaCry.

Para pakar keamanan siber menyatakan bukti teknis yang terkait dengan keterlibatan Korea Utara dalam serangan siber masih tergolong lemah, namun Pyongyang telah mencapai kemajuan dalam kemampuan sibernya, dan motif untuk mengimbangi sumber penerimaan yang hilang akibat sanksi ekonomi, menjadi motif yang dianggap sebagai penyebabnya.

Sejak hari Jumat, virus WannaCry teleh menginfeksi lebih dari 300.000 komputer di 150 negara, paling tidak sementara waktu melumpuhkan pabrik, bank, lembaga pemerintah, rumah sakit, dan sistem transportasi.

Hari Senin, para analis di perusahaan keamanan siber Symantec dan Kaspersky Lab menyatakan beberapa kode dari versi awal perangkat lunak WannaCry juga muncul dalam program-program yang digunakan Kelompok Lazarus, yang telah dikenali oleh beberapa pakar industri sebagai operasi peretasan yang didalangi Korea Utara.

“Saat ini kami telah mengungkapkan beberapa temuan ahng kami sebut indikator lemah atau kaitan lemah antara WannaCry dan kelompok ini yang sebelumnya dikenal sebagai Lazarus. Lazarus berada di belakang serangan terhadap Sony dan bank di Bangladesh contohnya. Namun semua indikator ini belum cukup untuk memastikan bahwa Lazarus berada di belakang semua ini,” ujar Peneliti Symantec Eric Chien.

Biro 121

Symantec telah mengaitkan kelompok Lazarus dengan sejumlah serangan siber di bank-bank Asia hingga bertahun-tahun yang lampau, termasuk pencurian digital senilai $81 juta dari bank sentral Bangladesh tahun lalu.

Pemerintah AS menyalahkan Korea Utara atas peretasan terhadap Sony Pictures Entertainment yang membocorkan informasi pribadi yang dapat merusak setelah Pyongyang mengancam “tindakan balasan tanpa ampun” bila studio itu merilis film komedi kelam yang menggambarkan pembunuhan Kim Jong Un. Dan Korea Selatan telah menuduh Korea Utara berusaha untuk meretas keamanan siber bank-bank, stasiun pemancar, dan fasilitas pembangkit tenaga listriknya dalam banyak kesempatan.

Pyongyang diyakini memiliki ribuan pakar komputer yang sangat terlatih yang bekerja untuk peperangan siber yang dikenal sebagai Biro 121, yang menjadi bagian dari Biro Umum Pengintaian, sebuah organisasi mata-mata elit yang dijalankan kalangan militer. Sudah ada berbagai laporan bahwa kelompok Lazarus berafiliasi dengan Biro 121. Beberapa serangan siber yang diduga terkait Korea Utara juga berhasil dilacak di sebuah hotel di Shenyang, China dekat perbatasan Korea.

“Kebanyakan mereka melakukan peretasan langsung, namun mereka meretas negara-negara lain dulu dan memindahkan (data), jadi beragam negara ditemukan ketika kita melacak, namun sebuah alamat IP yang berlokasi di Pyongyang dapat ditemukan di bagian akhirnya,” ujar Choi Sang-myung, seorang Direktur Senior di perusahaan keamanan siber, Hauri, Inc. di Seoul.

Tebusan

Masih belum jelas tujuan malware WannaCry yang sebenarnya apakah untuk melakukan pemerasan untuk mendapatkan pembayaran atau menyebabkan kerusakan dalam skala luas.

Para peretas yang terkait malware WannaCry telah menuntut tebusan dari para pengguna, mulai dari $300 untuk mengakhiri serangan siber ini, atau mereka mengancam akan menghancurkan semua data dari komputer yang terinfeksi. Sejauh ini para pelaku hanya berhasil mengumpulkan uang kurang dari $70.000 menurut Tom Bossert, seorang penasihat keamanan dalam negeri untuk Presiden AS, Donald Trump.

Negara-negara yang paling terdampak hingga hari ini oleh WannaCry adalah Rusia, Taiwan, Ukraina, dan India menurut perusahaan keamanan asal Czech, Avast.

Akibat dari penderitaan yang disebabkan oleh meningkatnya sanksi ekonomi yang disebabkan oleh program nuklir dan rudal balistik, maka tidak mengejutkan apabila Korea Utara berusaha untuk mengimbangi penerimaan dana yang hilang melalui tindakan terlarang seperti pencurian dan pemerasan siber. Namun ransomware WannaCry jauh lebih maju dari apa yang pernah digunakan oleh para peretas Korea Utara di masa lampau.

Ransomware sebelumnya mensyaratkan orang untuk mengklik sebuah lampiran di email atau mengakses situs web khusus agar dapat tertular, namun saat ini (komputer) dapat tertular tanpa harus menerima email atau mengakses sebuah situs web, cukup dengan terhubung ke kabel Internet,” ujar Choi.

FireEye Inc., perusahaan keamanan siber berskala besar lainnya, mengatakan mereka juga sedang melakukan investigasi namun tetap berhati-hati untuk tidak terburu-buru mengaitkannya dengan Korea Utara.

Selain serangan siber yang diduga dilakukannya di waktu lampau, Korea Utara juga telah dituduh telah memalsukan mata uang pecahan $100 yang dikenal sebagai “superdollars” atau “supernote” karena tingkat kemampuan memalsukannya mendekati kesempurnaan. [ww]