Sebuah tipe ransomware baru telah ditemukan pasca merebaknya wabah WannaCrypt beberapa waktu yang lalu. Ransomware ini memiliki beberapa karakteristik yang serupa dengan WannaCrypt, tetapi tidak lagi memiliki beberapa kelemahan yang masih ada pada WannaCrypt yakni tiadanya kill switch atau mekanisme untuk menghentikan laju infeksi ransomware tersebut. Petya (atau disebut juga sebagai Petrwrap) merupakan ransomware yang memanfaatkan celah keamanan EternalBlue yang berasal dari dokumen CIA yang bocor. Namun tidak seperti WannaCrypt, Petya memilih-milih korbannya. Wabah yang menyebar sejak Selasa kemarin telah berhasil menyasar perangkat komputer di Ukraina (perusahaan energi, bandar udara, bank sentral), juga beberapa perusahaan internasional seperti Maersk dari Denmark dan Rosnoft dari Rusia.
Celah Microsoft
Petya masih memanfaatkan celah yang sama dengan WannaCrypt, sebab meskipun Microsoft telah merilis patch untuk beberapa sistem operasi lawas seperti Windows XP, namun para administrator sepertinya kewalahan untuk melakukan upgrade sistem mereka, terutama apabila menyangkut sistem besar yang terdiri atas ribuan atau bahkan puluhan ribu komputer dalam sistem yang sama.
Ransomware Petya sebenarnya telah dirilis sejak 2016, namun kini diupgrade dengan beberapa fitur termasuk EternalBlue (dinamai NotPetya atau GoldenEye). Petya menyasar MFT (master file table) perangkat korban, dan jika MFT tidak terdeteksi, ia akan menginfeksi bagian lain dari sistem.
Bitcoin
Seperti halnya WannaCry, Petya meminta ransom sebesar $300 dari korbannya. Berdasarkan penelusuran, korban ransomware Petya mesti mengirimkan bitcoin permintaan mereka ke alamat 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, di mana hingga saat ini telah menerima bitcoin dengan total 3,5 BTC atau sekitar Rp 120 juta (bot pemantau pembayaran Petya bisa disimak di sini). Jika pada WannaCrypt para korban mesti menunggu sampai kunci dekripsi dikirimkan ke masing-masing komputer, pada Petya para korban harus mengirimkan bukti pembayaran ke email si pembuat Petya untuk diverifikasi secara manual ke alamat wowsmith123456@posteo.net. Si pembuat Petya menggunakan layanan email Posteo. Hanya saja akun ini telah diblok oleh Posteo dengan alasan pelanggaran persyaratan layanan, sehingga hampir mustahil para korban mendapatkan kunci dekripsi untuk menyelamatkan file-file mereka.
Analisis
Petya disinyalir dikerjakan oleh profesional, dengan melakukan perbaikan-perbaikan atas beberapa problem yang dialami WannaCrypt. Namun demikian, dari sisi pembayaran dan verifikasi bitcoin, pembuat Petya masih belum memiliki protokol yang lebih sophisticated. Verifikasi pembayaran dilakukan dengan cara manual yang membuat para korban justru ragu-ragu apakah mereka benar akan mendapatkan kunci dekripsi mereka. Penggunaan email juga menjadi titik kegagalan, di saat pemilik layanan pada akhirnya menutup akses akun ini, maka para korban semakin yakin bahwa uang pembayaran mereka akan sia-sia.
Saya juga masih ragu-ragu apakah Petya, seperti halnya WannaCrypt, adalah benar-benar termasuk golongan ransomware yang termotivasi oleh keuntungan finansial. Pada kenyataannya, ketiga alamat bitcoin penampung dana hasil WannaCrypt masih utuh dan tidak ada dana yang bergerak (Anda bisa memeriksa detail analisis transaksi bitcoin pada Wannacrypt di sini). Petya yang telah menggalang 3,5 BTC juga tidak menggerakkan dananya hingga saat ini. Petya bisa jadi hanyalah salah satu learning curve bagi state-sponsored atau organization-sponsored hacker.