Home  »  News   »  
News

Bagaimana Pemuda 22 Tahun Hentikan Serangan Ransomware WannaCry

[Foto: Shutterstock]
Serangan ransomware besar-besaran yang melumpuhkan lebih dari 20% rumah sakit di Inggris dan bertanggung jawab atas kerusakan sistem di sebanyak lebih dari 150 negara tampaknya telah dihentikan secara tidak sengaja oleh seorang peneliti keamanan komputer berusia 22 tahun asal Inggris, yang mulai mempelajari serangan Ransomware WannaCry pada hari Jumat sore.

“Dia berada di tempat yang tepat pada saat yang tepat, dan dia melakukan hal yang benar tanpa ragu,” kata Dan Kaminsky, seorang peneliti keamanan dan ilmuwan kepala di White Ops, sebuah firma keamanan berbasis di New York.

Ransomware bernama WannaCry tersebut tampaknya muncul pertama kali pada pukul 3:24 pukul satu pada hari Jumat, 12 Mei, kata Craig Williams, kepala teknis senior di Talos. Perusahaan tersebut adalah pusat penelitian keamanan bagi sebiah perusahaan teknologi di San Jose, California, yang berbasis Cisco.

Dalam waktu sekitar tujuh jam, ransowmare tersebut telah menyebar ke seluruh dunia.

Seorang analis keamanan siber—yang karena alasan keamanan telah memilih nama samaran MalwareTech (sesuai blog yang dia kelola)—menemukan kejanggalan yang terjadi di Internet setelah makan siang pada hari Jumat, ketika dia menemukan beberapa orang ribut tentang serangan peretas yang meminta uang tebusan global. Dia pun memutuskan untuk menyelidikinya.

Dalam kesehariannya, MalwareTech bekerja sebagai peneliti keamanan siber di Kryptos Logic yang berbasis di Los Angeles. Namun saat serangan pertama kali terjadi, sebenarnya dia sedang berlibur, sehingga tidak segera tahu.

“Kami sudah cukup lama bekerja selama beberapa bulan terakhir, dan kami sekarang sedang cuti. Saya berada di Venesia sekarang” kata bosnya, Salim Neino, CEO Kryptos Logic. “Kami mengobrol secara online tentang bagaimana serangan siber terbesar tahun ini terjadi ketika kami berdua sedang tidak aktif bekerja.”

Meski baru berusia 22 tahun, ia dikenal di dunia kemanana siber sebagai seorang yang piawai dalam “mengenali hal-hal buruk yang menyebar dengan cepat,” kata Ryan Kalember, wakil presiden untuk keamanan dunia maya di Proofpoint, perusahaan yang berbasis di Sunnyvale, California.


Yang pertama kali berjasa dalam menemukan kode untuk WannaCry adalah seseorang yang dijuluki Kafeine di dunia maya. Dia adalah seorang peneliti keamanan yang tidak bersedia memberikan keterangan kepada pers, dan hanya menggunakan nama layarnya. Dia diketahui juga bekerja untuk Proofpoint.

Malware Tech memanggilnya “teman baik dan rekan peneliti” di sebuah postingan blognya, dan mencatat bahwa Kafeine memberinya sampel kode sehingga dia bisa mulai merekayasa kinerjanya untuk mencari solusi menghentikan WannaCry.

Salah satu hal pertama yang MalwareTech perhatikan adalah, begitu menginstal sendiri pada mesin baru, malware tersebut mencoba mengirim pesan ke alamat Internet—atau domain—yang tidak terdaftar.

Dia segera mendaftarkan dan membayar domain itu, untuk melihat bagaimana hasilnya. Dia melakukannya pada Jumat, sekitar pukul 3 sore di London, Inggris.

“Tugas saya adalah mencari cara untuk melacak dan menghentikan botnet (dan jenis malware lainnya),” tulisnya di blognya.

Namun, dengan berbuat demikian, MalwareTech telah secara tidak sengaja menghentikan seluruh serangan global yang dilakukan WannaCry, meskipun butuh waktu lama baginya dan para ahli keamanan siber lainnya untuk menyadarinya.

“Lucunya, saat itu kami tanpa sadar telah membunuh ransomware tersebut,” tulisnya.

Malware tersebut berisi kode komputer yang melakukan ping ke alamat web yang tidak terdaftar, dan jika tidak mendapatkan respon yang mengatakan bahwa alamatnya tidak ada, maka ransomware tersebut akan mati dengan sendirinya. Namun demikian, solusi ini tak bisa membantu komputer yang sudah terinfeksi dengan ransomware. Namun, ransomware tersebut berhenti menyebar, kecuali pada sistem yang terisolasi.

“Kami pikir itu adalah ‘tombol bunuh diri’ yang dibuat oleh pembuatnya,” kata Kalember. Mereka bisa menghentikan penyebaran perangkat lunak hanya dengan mendaftarkan dan melakukan pengaturan alamat website yang digunakan, namun MalwareTech melakukannya terlebih dahulu.

Sebagai ujicoba final, dia menjalankan malware di lingkungan tertutup yang terhubung ke situs web yang terdaftar, dan tidak mendapatkan apa-apa.

Lalu mencobanya lagi setelah memodifikasi sistem host sehingga koneksi tidak berhasil, dan ransomware segera mengambil alih.

“Sekarang Anda mungkin tidak bisa membayangkan seorang pria dewasa melompat-lompat dengan kegembiraan karena telah terkena serangan ransomware, tapi inilah saya. Kegagalan dari ransomware tersebut mencegahnya menyebar hanya dengan melakukan registrasi untuk domain webnya,” tulisnya pada blog.

Pemuda tersebut memang telah menghentikan ransomware yang menyebabkan ribuan perusahaan mengalami kerugian puluhan ribu dolar, namun ancaman belum berhenti sampai di situ, karena menurut MalwareTech, para peretas bisa merekayasa kodenya dan memulai dari awal.