Lima bulan setelah WannaCry dan empat bulan setelah serangan global NotPetya, varian serangan ransomware terbaru yang dijuluki Bad Rabbit dilaporkan telah mencapai hampir 200 target, termasuk organisasi media, bandara dan kereta api bawah tanah.

Serangan Ransomware Malware Bad Rabbit Secara Global

Sebagian besar serangan ransomware sampai saat ini telah dilaporkan di Rusia. Malware Bad Rabbit mengenkripsi komputer dan menuntut 0,05 bitcoin, setara dengan Rp.3.7 juta atau $ 277. Hal ini meningkatkan kekhawatiran akan serangan ransomware global ketiga.

Sama seperti NotPetya yang menyebar dengan cara membajak mekanisme pemutakhiran perangkat lunak akuntansi MeDoc Ukraina, Bad Rabbit tampaknya menyebar melalui update Adobe Flash yang tidak benar, menurut perusahaan keamanan Eset.

Perusahaan keamanan Rusia Kaspersky Lab melaporkan bahwa serangan tersebut tidak menggunakan eksploitasi, namun merupakan serangan drive-by, yang berarti korban mendownload pemasang Adobe Flash palsu dari situs web yang terinfeksi dan secara manual meluncurkan file .exe, menginfeksi dirinya sendiri.

Bad Rabbit tampaknya menjadi serangan yang ditargetkan terhadap jaringan perusahaan, kata Lab Kaspersky. Serangan ransomware ini menggunakan metode yang serupa dengan serangan ExPetr (juga dikenal sebagai NotPetya).

Seperti WannaCry dan NotPetya, Bad Rabbit tampaknya terutama ditujukan untuk menyebabkan gangguan. Serangan ransomware Bad Rabbit ini dilaporkan menggunakan protokol blok pesan server Microsoft Windows (SMB), namun dengan cara yang berbeda, dan menggunakan algoritma yang sangat mirip dengan yang ditemukan di kode NotPetya.

Tanggapan Para Ahli Terhadap Serangan Ransomware “Bad Rabbit”

Namun, Malware Bad Rabbit tidak menggunakan eksploitasi EternalBlue, menurut Allan Liska, arsitek solusi senior di Recorded Future.

“Sebaliknya, hal itu bergantung pada pembuangan kata sandi lokal, dan juga daftar kata kunci umum, untuk mencoba berpindah dari satu mesin ke mesin lainnya, mencoba menyebar melalui jaringan,” katanya.

Liska mengatakan kode Bad Rabbit jauh lebih halus daripada yang kita lihat dengan WannaCry dan NotPetya. “Tampaknya telah teruji dengan baik, meski sangat bergantung pada banyak skrip baris perintah. Malware Bad Rabbit menggunakan portal pembayaran tradisional untuk mendapatkan uang tebusan daripada meminta korban untuk mengirim email, “katanya.

Penyerang juga menggunakan eksploitasi WebDAV, ekstensi Web Distributed Authoring and Versioning ke Hypertext Transfer Protocol (HTTP) yang memungkinkan penyuntingan kolaboratif antar pengguna di seluruh jaringan, menurut Forbes.

Perusahaan keamanan Eset mengatakan alat Mimikatz, yang digunakan oleh serangan NotPetya. Alat ini digunakan oleh Bad Rabbit untuk mencuri password dari sistem yang terkena dampak agar penyerang dapat bergerak di sekitar jaringan korban.

Namun, Kaspersky Lab mengatakan tidak dapat mengkonfirmasi apakah Malware Bad Rabbit terkait dengan NotPetya, dan investigasi sedang berlangsung. Perusahaan keamanan cyber ini mengatakan masih belum jelas apakah mungkin untuk mendapatkan kembali file yang dienkripsi oleh Bad Rabbit baik dengan membayar uang tebusan atau dengan menggunakan beberapa kesalahan dalam kode ransomware.

Sebuah penghitungan mundur di situs pembayaran menunjukkan jumlah waktu sebelum harga tebusan naik. Namun Lab Kaspersky dan komentator lainnya menasihati agar tidak membayar uang tebusan karena tidak ada jaminan bahwa data yang dienkripsi akan dipulihkan.

Organisasi yang terkena dampak termasuk Bandara Internasional Odessa Ukraina, yang melaporkan bahwa sistem informasinya telah berhenti berfungsi, kantor berita Interfax Rusia, situs berita Fontanka di St Petersburg, layanan Metro Kiev, dan departemen keuangan dan infrastruktur Ukraina.

Langkah yang disarankan untuk mencegah infeksi malware Bad Rabbit

Beberapa peneliti mengklaim telah mengembangkan vaksin untuk mencegah serangan ransomwre Bad Rabbit.

Sangat disarankan untuk mengambil tindakan berikut agar dapat mencegah dari infeksi malware Bad Rabbit:

  • Pertama, buat dua file berikut ini: c: \ windows \ infpub.dat dan c: \ windows \ cscc.dat dengan memulai cmd.exe sebagai admin dan ketikkan perintah berikut: echo “”> c: \ windows \ cscc.dat && echo “”> C: \ windows \ infpub.dat
  • Selanjutnya, hapus semua hak akses mereka dengan mengklik kanan setiap file dan memilih Properties, lalu pilih tab Security.
  • Sekarang klik Advanced, dan pada tab Permissions, klik tombol Change Permissions.
  • Kemudian, hapus centang pada kotak “Include inheritable permissions from this object’s parents”.
  • Setelah Anda melakukannya, sebuah jendela akan muncul. Klik tombol Remove.
  • Ingatlah untuk melakukan tindakan ini untuk dua file yang anda buat tersebut.

Jika Anda menjalankan Windows 10, ulangi langkah yang sama, tapi bukannya mencentang kotak warisan, klik tombol “disable inheritance” dan pilih “Remove all inherited permissions from this object”.

Kilas Balik Serangan Ransomware di Tahun 2017

Serangan Bad Rabbit tampaknya merupakan salah satu serangan terbesar sejak serangan cyber NotPetya pada bulan Juni 2017. Not Petya melanda Ukraina dan menyebar ke seluruh dunia. Pada bulan Oktober 2016, Forcepoint Security Labs memperingatkan adanya bahaya pembaruan perangkat lunak jahat.

Saat ini, kita akan terus melihat serangan besar-besaran dengan konsekuensi ekonomi, karyawan dan keamanan publik. Dan metode akan terus berkembang, termasuk metode mengelak untuk menyembunyikan aktivitas mereka dan juga niat sebenarnya mereka. Disnilah, kenapa perusahaan membutuhkan solusi pencadangan yang dapat mengenali prilaku malware canggih.

Tipsnya adalah untuk lebih memahami poin manusia dalam serangan cyber ini. Maksud atau motivasi para penyerang dapat berkisar secara luas termasuk keuntungan finansial, balas dendam, politik atau hacktivisme. Memahami niat ini dapat membantu membentuk strategi keamanan kita.

Tapi lebih penting lagi memahami titik manusia yang kita sebut ‘pengguna’. Bagaimana mereka berinteraksi dengan internet, dan dengan berbagai aplikasi?. Apa hak istimewa yang mereka butuhkan, dan bagaimana mereka menggunakan hak istimewa yang mereka miliki?.

Ini adalah bagian penting dari bagaimana peneliti memprediksi pergeseran masa depan dalam lanskap ancaman. Memahami ‘titik manusia’ di perusahaan anda dapat menghasilkan strategi keamanan yang lebih efektif.