Tahu kehebatan WannaCry?
Dibanding ransomware lain, WannaCry terbilang lebih “sakti” karena memiliki keunikan.
WannaCry disinyalir memanfaatkan “senjata cyber” milik dinas intel Amerika Serikat, NSA, yang dicuri oleh kelompok hacker bernama Shadow Broker dan dibocorkan pada April lalu.
Senjata cyber bersandi “EnternalBlue” ini mengincar kelemahan terkait Server Message Block di sistem operasi Windows, khususnya versi lawas seperti Windows XP.
Sebelumnya, NSA diduga sudah sering memakai EnternalBlue untuk memata-matai komputer target.
Whistleblower NSA, Edward Snowden, menyalahkan dinas intel tersebut atas penyebaran WannaCry.
NSA dinilai telah lalai dan tidak memberitahu publik soal ancaman dari senjata cyber miliknya yang dicuri oleh hacker.
Tak kurang bos Microsoft, President dan Chief Legal Officer Brad Smith, ikut menyalahkan NSA atas wabah WannaCry lantaran NSA dinilai “menimbun senjata cyber berbahaya” yang sewaktu-waktu bisa jatuh ke tangan penjahat.
Menurut Smith, kecolongan macam ini sama saja dengan kecurian peluru kendali Tomahawk.
“Serangan WannaCry tersebut merupakan contoh lain dari masalah penimpunan senjata cyber oleh pihak pemerintah,” ujar dia, sebagaimana dirangkum LA Times.
Berbeda dari ransomware lain, dengan memanfaatkan tool EternalBlue, WannaCry bisa mudah menyebar ke komputer lain tanpa perlu intervensi korban seperti pada trik phising yang umumnya dipakai ransomware.
Peneliti keamanan Adrien Guinet dari Quarkslab memberikan secercah harapan, khususnya bagi para pengguna Windows XP.
Guinet mengklaim telah menemukan tool untuk membuka data (decrypt) dengan menarik “kunci” enkripsi yang ternyata masih tersimpan di memori komputer setelah WannaCry mengenkripsi data.
“Kalau Anda beruntung, Anda bisa mengakses bagian dari memori dan menciptakan kembali kunci untuk melakukan dekripsi,” ujar Guinet dalam nota yang mendampingi tool bernama “Wannakey” itu.
Wannakey bekerja dengan memanfaatkan bug di Microsoft Cryptographic Application program Interface yang dimanfaatkan oleh WannaCry dalam melancarkan aksinya.
Sang ransomware menciptakan dua kunci di komputer pengguna: sebuah “public key” untuk mengunci file dan sebuah “private key” untuk membukanya, apabila korban membayar tebusan.
Supaya korban tak membuka sendiri data yang dikunci, WannaCry kemudian ikut mengenkripsi private key dimaksud. Versi Private Key yang belum dienkripsi seharusnya dihapus oleh Windows, tapi ini tidak terjadi di Windows XP karena bug sehingga bisa diambil oleh tool Wannakey.
Guinet mengklaim telah berhasil mencoba tool Wannakey untuk mengembalikan data di komputer berbasis WIndows XP tanpa membayar tebusan.
Syaratnya, karena kunci dekripsi tadi tersimpan di memori volatile, komputer tidak boleh di-restart sebelumnya karena isi memori akan terhapus.
Kendati demikian, Guinet mengaku belum melakukan pengujian secara ekstensif di sejumlah besar komputer Windows XP. Dia pun tak menjamin kunci enkripsi data akan bisa dibuka setiap waktu.
“Harap diperhatikan juga bahwa Anda butuh keberuntungan (isi memori belum direalokasi dan dihapus) agar bisa membuka kunci. Ini juga mungkin tak selalu berhasil di tiap kesempatan,” imbuh Guinet.
Tak jelas berapa jumlah komputer Windows XP yang terinfeksi WannaCry.
Microsoft selaku empunya sistem operasi bergegas merilis patch darurat untuk menangkal serangan WannaCry di Windowx XP.
Peneliti dari Cisco juga menerangkan bahwa setidaknya komputer Windows XP dengan prosesor 64-bit rawan menjadi korban worm WannaCry yang mulai menyebar pada Jumat pekan lalu.
Namun, ada juga sebagian peneliti keamanan yang mengatakan bahwa Windows XP sebenarnya tak terdampak oleh worm WannaCry, meski ransomware tersebut bisa saja berjalan di Windows XP apabila dikopi secara manual.
Pembuat WannaCry sendiri terkesan amatiran dalam soal kunci-mengunci data dan meminta tebusan. Hingga awal pekan ini, sang pembuat ransomware dilaporkan baru mendapat tebusan
Craig Williams, seorang peneliti keamanan cyber dari tim Talos Cisco, berpendapat bahwa WannaCry sebenarnya luar biasa apes dalam hal pengumpulan tebusan.
“Tingkat kerusakan, publikasi, dan perhatian aparat hukum yang ditariknya sangat tinggi. Lalu margin profitnya mungkin yang paling kecil dari semua kampanye ransomware yang kami lihat,” ujar Williams
Saking kecilnya keuntungan yang dihasilkan WannaCry beberapa pihak mulai berspekulasi bahwa tebusan yang diminta si ransomware sebenarnya hanya kedok saja.
Tujuan yang sebenarnya, menurut mereka, boleh jadi adalah menimbulkan kerusakan sebanyak mungkin.
