. . .

Dua hari terakhir, grup-grup chat saya sangat ramai dengan topik bahasan ransomware WannaCrypt yang melanda dunia hampir secara serentak. WannaCrypt merupakan salah satu produk jahat yang memanfaatkan celah Microsoft MS17-010 yang dieksploitasi oleh NSA dan dipublikasikan oleh kelompok yang berhasil membobol NSA, The Shadow Broker.

Celah keamanan ini memanfaatkan masalah yang ada pada protokol SMBv1 yang di antaranya beroperasi pada port 139, 445, dan 3389 sehingga untuk menangkal serbuan ransomware ini, pengguna diharapkan untuk menonaktifkan protokol SMBv1 dan menutup port-port terkait (meskipun mungkin pengguna terdampak dengan kebijakan ini, kesulitan bertukar dokumen melalui protokol SMB. Saya tidak akan banyak membahas detail teknis Ransomware Wannacrypt, karena untuk ini Anda bisa membacanya di hampir semua situs.

Yang menjadi fokus saya sekarang ini adalah tentang bagaimana WannaCrypt memanfaatkan Bitcoin sebagai media untuk meminta ransum dari korbannya. Hingga saat ini teridentifikasi setidaknya 3 alamat Bitcoin yang di-hardcode (ditulis secara manual) dalam program WannaCrypt sebagai berikut.

Dari ketiga alamat tersebut, hingga saat ini penjahat telah mengantongi dana sebanyak 20,2 BTC atau lebih dari Rp 480 juta. Jumlah tersebut masih dikategorikan kecil, besar kemungkinan karena para korban diberi waktu hingga 3 hari untuk melakukan pembayaran. Mungkin pada jam-jam terakhir jumlah transferan akan melesat naik, karena jumlah korban hingga saat ini cukup banyak, termasuk 2 rumah sakit di Indonesia yang telah teridentifikasi, belum termasuk individu. Setiap komputer korban diminta dana dalam bentuk Bitcoin senilai US $300 (sekitar Rp 4 juta) yang dikirimkan ke salah satu dari 3 alamat di atas.

Saya mengidentifikasi beberapa hal yang menurut saya janggal dari ransomware ini.

Pertama, nilai Bitcoin sangat fluktuatif, sehingga sulit menentukan berapa BTC yang senilai $300. Hari ini mungkin 0,17 BTC, besok atau sejam lagi, siapa yang tahu? Problem ini terlihat sederhana, tetapi akan jadi kompleks jika dibuat aplikasi, di antaranya menarik data nilai tukar BTC dan mengkonversikan BTC tersebut ke dalam mata uang USD.

Kedua, saya tidak memahami bagaimana cara aplikasi tersebut melakukan “Check Payment” seperti yang dipersyaratkan oleh ransomware tersebut agar pengguna bisa melakukan dekripsi file-file mereka yang disandera. Apa sebab? Begini. Bitcoin itu seperti uang kertas. Kita tidak dapat mengidentifikasi identitas pemilik uang kertas sebelumnya setelah uang kertas tersebut dipakai untuk bertransaksi (berpindah tangan dari satu orang ke orang lain). Demikian juga dengan Bitcoin, meskipun informasi transaksinya ada, namun sumber dananya tidak teridentifikasi.

Saya memahami benar konsep anonimitas (atau pseudo-anonimitas lebih tepatnya) Bitcoin ini untuk meragukan bagaimana metode aplikasi WannaCrypt melakukan cek pembayaran dari sebuah komputer yang terinfeksi. Bayangkan bagaimana lebih kompleks lagi jika seorang pengguna melakukan transfer dana lebih dari 1 transaksi (misalnya dipecah menjadi 2, yakni 0,1 BTC dan 0,07 BTC). Bagaimana caranya si aplikasi membedakan transaksi tersebut dengan transaksi milik orang lain? Hampir mustahil.

Saya memang tidak melakukan reverse-engineering atas executables WannaCrypt ini, dan saya juga belum menemukan informasi bagaimana pengguna mendapatkan kembali file-file mereka setelah membayar (jika informasi terbaru saya dapatkan, akan saya update). Yang jelas, ada 2 kemungkinan.

Pertama, data pengguna tidak pernah kembali karena mekanisme check payment memang tidak pernah ada dan penjahat tidak ada niat untuk memberikan fasilitas decrypt tanpa limit. Kedua, data pengguna bisa didecrypt setelah beberapa waktu (mungkin time-controlled atau via CnC) setelah si penjahat mendapatkan cukup dana untuk bersenang-senang. Dari 2 kemungkinan ini, semua sangat bergantung pada keinginan si penjahat belaka, dan membayar pun bisa jadi akan sia-sia.

7 thoughts on “Memahami Transaksi Bitcoin Pada Ransomware WannaCrypt”

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.