NotPetya, Malware Perusak yang Diduga Terafiliasi dengan Rusia
Ilustrasi | Foto: Pexels
Cyberthreat.id – Departemen Kehakiman Amerika Serikat belum lama ini mengeluarkan dakwaan terhadap enam perwira intelijen Rusia karena diduga menyebarkan malware perusak. Salah satu malware perusak yang digunakan tersangka ialah “NotPetya”.
Malware ini dijuluki NotPetya karena menyamar sebagai ransomware “Petya” yang pernah heboh pada 2016. Petya ini dinamai menurut sistem senjata di GoldenEye—ransomware yang menargetkan sistem Windows, mengenkripsi sistem dan meminta imbalan atau tebusan pembayaran Bitcoin.
Setahun setelah Petya, tepatnya Juni 2017, NotPetya hadir dan merupakan versi yang lebih canggih dari Petya. NotPetya pun menargetkan berbagai negara, seperti Inggris, Prancis, Italia, Jerman, Polandia, Rusia, dan AS. Versi baru dari Petya ini diyakini berasal dari Ukraina—80 persen infeksi diperkirakan telah terjadi di negara ini.
NotPetya dan Petya: adakah perbedaannya?
NotPetya diberi julukan yang sama dengan Petya karena menggunakan muatan dasar yang sama, tetapi dengan beberapa perubahan yang membuatnya unik, makanya diberi nama NotPetya.
Salah satu perbedaan yaitu exploit “EternalBlue” yang dipakai kelompok peretas Shadow Brokers, juga yang digunakan ransomware WannaCry pada 2017, tapi NotPetya mengkombinasikan dengan alat penghasil kata sandi berdasarkan “mimikatz” sehingga memungkinkannya untuk berpindah dari mesin ke mesin dalam jaringan.
NotPetya menyebar dengan sendirinya, berbeda dengan Petya yang melalui email spam dan korban harus mengunduhnya. NotPetya menggunakan beberapa metode lain untuk menyebar tanpa campur tangan manusia.
Perbedaan utama lain varian Petya awal memungkinkan mesin korban didekripsi (dibuka) setelah tebusan dibayar, sedangkan NotPetya tidak seperti itu.
NotPetya dimodifikasi secara khusus sehingga secara teknis tidak dapat memulihkan file korban setelah muatan dieksekusi.
Dalam instruksi pembayaran tebusan di layar komputer saat muatan ini berhasil dieksekusi pun mengharuskan korban membayar Bitcoin US$ 300 ke alamat tertentu.
Inilah yang membuatnya bukan lagi sekadar mengenkripsi file seperti yang dilakukan Petya, melainkan NotPetya ini menjadi ‘wiper’ — malware yang dirancang murni untuk melumpuhkan atau menghancurkan korbannya tanpa pandang bulu — bukan ransomware.
Meskipun ada pembagian kode yang signifikan, Petya yang asli adalah perusahaan kriminal untuk menghasilkan uang. Sementara NotPetya jelas tidak dirancang untuk menghasilkan uang. Ini dirancang untuk menyebar dengan cepat dan menyebabkan kerusakan.
Tujuan politik
Lantas, jika motivasinya bukan menghasilkan uang atau keuntungan finansial, apa tujuan sebenarnya dan mengapa membuatnya terlihat seperti ransomware?
Untuk menjawabnya maka harus mengetahui target awal NotPetya dan metode di mana mereka terinfeksi.
Banyak bukti yang menunjukkan bahwa NotPetya sebenarnya adalah senjata siber bermotif politik yang digunakan oleh Rusia untuk melawan Ukraina.
Petunjuk pertama adalah sejak serangan awal pada 27 Juni 2017, metode awal yang digunakan NotPetya untuk menginfeksi korbannya, yakni dengan M.E.Doc, perangkat lunak pajak Ukraina.
NotPetya memanfaatkan segala kerentanan M.E.Doc dan membajaknya. Saat itu, penggunaanya diarahkan untuk memperbarui perangkat lunak mereka, tetapi dalam kasus ini, ketika diunduh dan dipasang oleh korban, jaringannya akan terkontaminasi dengan NotPetya. Artinya, berkaca dalam kasus awal ini, NotPetya menyebar dalam pembaruan produk.
Perangkat lunak M.E.Doc ini tersebar luas di seluruh bisnis Ukraina, dan para penyelidik menemukan bahwa backdoor dalam sistem pembaruannya ada setidaknya enam minggu sebelum munculnya NotPetya. Penyelidik pun menemukan juga bahwa perangkat lunak server M.E.Doc belum diperbarui sejak 2013. Pengembang M.E.Doc pun mengklaim pihaknya menjadi korban.
Serangan NotPetya pada saat itu bertepatan dengan Hari Konstitusi, hari libur umum Ukraina untuk memperingati penandatanganan konstitusi Ukraina pasca-Uni Soviet. NotPetya memanfaatkan waktu libur itu di mana bisnis dan pihak berwenang lengah dan tidak dapat merespons jika ada serangan.
Oleh karena itu, tujuannya NotPetya ini diduga oleh banyak profesional keamanan adalah untuk mendatangkan malapetaka sebanyak mungkin pada ekonomi dan infrastruktur Ukraina, sambil membuatnya tampak seperti ransomware.
Pemerintah AS, Inggris, Australia, dan Ukraina pun menuduh NotPetya dibantu oleh pemerintah Rusia, tetapi Rusia membantah keterlibatannya.
Beberapa waktu lalu, tepatnya 19 oktober 2020, Departemen Kehakiman AS (DoJ) mengatakan NotPetya ini mengganggu penyediaan layanan medis penting di Heritage Valley AS, serta melumpuhkan beberapa perusahaan multinasional seperti Maersk, Merck, FedEx’s TNT Express, Saint-Gobain, Mondelez, dan Reckitt Benckiser.[]
Keterangan: artikel ini disarikan dari berbagai sumber: ITPro, TechRadar, Antivirus Comodo, dan The Register
Redaktur: Andi Nugroho
