Ransomware adalah salah satu dari tipe malware, yang menyandera data dan meminta ransom (English terms for: tebusan -hehe). Belakangan ini jenis ransomware jadi semakin ramai menyebar dibandingkan jenis malware-malware yang lain seperti virus, trojan, worm, adware (software mengandung iklan-iklan yang sangat mengganggu user), sampai dengan spyware (software yang dapat memata-matai aktifitas user). Tahu kenapa Ransomware lebih ngetrend? Ya sudah tentu karena malware dari jenis yang satu ini dapat menghasilkan uang dari penyitaan data. “Kalau ingin data anda kembali, bayar sejumlah uang dulu”. Simply, itu lah tujuan dari ransomware hehe.
Era Malware Sebelum Ada Ransomware
Malware seperti virus sudah ada hampir bersamaan sejak komputer diproduksi massal, namun baru mulai trends sekitar 90an sampai dengan awal tahun 2000an. Motifnya pun pada waktu itu murni hanya iseng, “narsis” atau proof sebuah konsep seperti Morris Worm. Saya masih ingat jaman dahulu PC saya terkena virus “Brontok” dan impact jika terinfeksi virus ini akan ada file HTML dengan pesan tertentu untuk pemimpin-pemimpin negeri ini, dengan warna khas hijau nya. That’s it. Hahaha. Hingga bergeser ke malware yang mengandung backdoor a.k.a Trojan, dimana komputer kita bisa di remote dari jauh jika trojan tersebut berhasil di eksekusi. Motifnya mungkin sudah mengarah ke pencurian data, spying, dan sejenisnya seperti yang menimpa Sony Pictures di penghujung tahun 2014. Hingga ke jamannya Advanced Threat yang evasif, mampu mengelabui IPS dan antivirus.
Era Ransomware
Untuk Ransomware, entah dari siapa ide nya, namun sebuah konsep “jahaaapp” (-red hahahaha) bernama ransomware ini adalah menyita data dengan cara mengenkripsi data tsb memanfaatkan algoritma enkripsi umum seperti RSA, DSA untuk enkripsi asymmetric dan AES untuk enkripsi symmetric nya.
Sehingga data user terenkripsi dan tidak dapat digunakan a.k.a useless. Sampai kunci nya didapatkan dan dilakukan proses dekripsi (kebalikan dari proses enkripsi). Nah key/kunci dekripsi nya itu lah yang dijual, mostly pembayarannya menggunakan Bitcoin. Jadi penyanderaan data dalam hal ini bukan datanya diculik seperti kasus penculikan anak ya! Halah hahaha. Dari pantauan pribadi saya Ransomware mulai marak sekitar 2013-2014.
Dari gambar di atas, bisa kita lihat bahwa peran enkripsi simetrik dilakukan saat mengenkripsi data. Sedangkan enkripsi asimetrik hanya digunakan untuk mengenkripsi “key” dari enkripsi simetrik nya. Hal ini karena resource yang dibutuhkan untuk mengenkripsi data-data si korban jika menggunakan enkripsi simetrik akan lebih ringan dan proses nya lebih cepat daripada menggunakan enkripsi asimetrik.
Analogikan seperti ini: kita akan menyita harta si Mr. X dengan sebuah box brankas beserta kuncinya. Proses mengunci brankas nya dengan kunci adalah proses enkripsi simetrik biasa, dengan kunci brankas sebagai “key” nya. Yang kita harapkan adalah Mr.X membayar ke kita jika ingin kunci brankasnya dikasih. Nah, biar key nya tidak gampang diambil oleh si Mr. X, maka kunci tersebut di “kunci” lagi oleh sebuah mekanisme enkripsi asimetrik. Mekanisme enkripsi asimetrik adalah sebuah mekanisme enkripsi dengan 2 kunci berbeda, istilahnya public dan private key. Private key hanya ada di server sang pembuat Ransomware, sementara public key nya digunakan untuk meng-encrypt kunci brankas nya agar kunci brankas aman dari Mr. X heheh.
Sehingga apa yang terjadi? Secara teori, satu-satunya cara untuk mendapatkan kunci dekripsi nya (kunci brankas Mr. X) yaitu meminta private key yang ada di server sang pembuat Ransomware. Walaupun ada beberapa varian ransomware yang ternyata cacat secara code/logic, sehingga key nya bisa didapatkan dengan teknik tertentu. Yaa, pembuat ransomware juga manusia… hahaha..
Cara Mendapatkan Decryption Key
Secara teori, agar bisa mendapatkan kemungkinan private key dari sebuah public key-pair yang menggunakan algoritma RSA 1024 bit saja, perlu kalkulasi komputer dengan spek standar (CPU dual-core) hingga ribuan tahun! Namun ada kasus Ransomware yang key decryption nya bisa didapatkan secara gratis via online oleh sebuah vendor security. Lah kok bisa? Ternyata karena sang pembuat Ransomware nya tertangkap oleh jaringan policy cybercrime dan interpol, kemudian bapak-bapak polisi itu mengambil alih server Ransomware tersebut yang mana disitu ada banyak private key para korban ransomware tentu saja. Oalah…
Ada lagi varian ransomware yang menyimpan secret key nya di memory dan pembuatnya “lupa” untuk menghapusnya. Akibatnya secret key tsb masih tersimpan di memori selama komputer masih menyala.
Ini hanya gambaran dari saya bahwa betapa enkripsi asimetrik itu sebenarnya sangat sulit untuk dipecahkan. Jika ada yang claim dapat memecahkan, kemungkinan besar karena ada faktor lain yang memungkinkan private key nya “terkuak” saat code program Ransomware nya di bongkar/reverse engineer, atau karena memang private key nya sudah di takeover.
Banyak rekomendasi dari vendor keamanan seperti vendor antivirus, agar tidak membayar tebusan atau ransom tersebut. Selain karena pembayaran tsb bersifat tidak pasti -sang pembuat bisa saja tidak memberikan key walaupun sudah dibayar ‘kan?- juga karena membayar cyber criminal berarti anda mendukung cybercrime yang semakin lama semakin marak ini! Hahahah.. Maka langkah preventif yang baik dari ancaman Ransomware ini adalah:
- Selalu backup data penting anda secara berkala
- Update sistem operasi serta antivirus secara kontinyu
- Bijak dalam ber-internet.
Perkembangan Ransomware
Perkembangan ransomware dari masa ke masa semakin marak, mungkin karena “bisnis” ini menjanjikan karena banyak yang terkena dan membayarnya demi mendapatkan key. Para pembuat Ransomware pun terlihat semakin cerdas memanfaatkan ransomware ini untuk mencari uang, terlihat dari evolusi ransomware sbb:
Pada Ransomware generasi pertama ini contohnya seperti Locky, CryptoLocker, dan varian-varian sejenis sebelumnya. C&C callback pada gambar di atas adalah proses enkripsi key nya dengan menggunakan enkripsi asimetrik, dimana public dan private key akan di generate oleh server Ransomware, dan private key nya tetap tersimpan di server Ransomware di internet. Pada generasi 1 ini hanya melakukan enkripsi data lokal saja, maksudnya hanya di host korban itu saja. Sehingga potensi korban yang terkena dan membayar tentu sedikit. Maka muncullah generasi ransomware berikutnya….
*Preface sebelum kemunculan Ransomware Wannacry yang penyebarannya sangat masif
Pada awal 2017, sebuah agen keamanan Amerika (NSA) diberitakan menjadi korban dari pencurian data oleh kelompok cyber underground bernama “Shadow Brokers”. Singkat cerita, seperti kita ketahui bersama NSA mempunyai program memata-matai internet -tau lah yaa- salah satu nya ternyata mereka memiliki exploit pada sistem SMB Windows, yang memungkinkan NSA untuk masuk ke sistem-sistem Windows tipe apa saja, mulai dari XP sampai Windows Server 2012. Exploit tersebut bernama EternalBlue. Belakangan setelah WikiLeaks me-release dokumen hasil pencurian data Shadow Brokers tersebut, muncullah patch dari Microsoft terhadap bug SMB itu, dengan kode MS 17-010.
*Lah.. lalu apa hubungannya NSA dengan Ransomware?
Entah ide jenius gila apa, sang pembuat Ransomware memanfaatkan exploit EternalBlue NSA yang sudah terexpose ke publik ini pada code nya agar Ransomware doi dapat menggandakan diri sebanyak-banyaknya di host-host Windows pada jaringan. Akibatnya? Hampir seluruh negara di dunia dibuat kelabakan karena Ransomware yang dibekali “senjata” EternalBlue tersebut.
Varian baru Wannacry bernama Petya
Seakan-akan belum puas melihat orang-orang pengguna Windows di dunia lagi kebakaran jenggot, muncul lagi ide gila yang memungkinkan program Ransomware menggandakan diri ke host lain via network memanfaatkan PSEXEC dan WMIC. PSEXEC dan WMIC adalah tools/utility memanfaatkan fitur Windows yang memungkinkan kita mengeksekusi sebuah program pada remote komputer di suatu network. Dengan memanfaatkan PSEXEC dan WMIC tsb, walaupun patch terhadap MS 17-010 atau serangan exploit EternalBlue sudah ditutup, propagasi ransomware jadi masih tetap memungkinkan. This is genius, in a bad way! Hahaha.
Entah sampai kapan trend Ransomware ini akan terus berlangsung. Yang pasti semakin banyak korban karena ransomware yang sekarang bukanlah ransomware yang dulu. Dan semakin banyak korban = semakin banyak mendulang uang.
Ransomware Telah Menjadi Bisnis
Pada suatu kesempatan di sebuah seminar security, saya disuguhi fakta bahwa pembuat Ransomware ada yang sampai mendirikan sebuah perusahaan “Ransomware” karena saking banyaknya yang menjadi korban dan mengontak si pembuat Ransomware -sesuai petunjuk di layar itu loh-… Pembuat ransomware sampai merekrut orang dan membuat beberapa divisi seperti Divisi Technical Support, Divisi Research & Development, hingga Divisi Finance Accounting! Dan lucunya, traffic C&C tsb menurut data cenderung selalu turun di akhir pekan atau dengan kata lain: kantor itu juga kerjanya Senin-Jumat jam 9 sampai 5. Hahaha!
Bagus artikelnya, ransomware virus yang menyebalkan dan membahayakan..