Serangan siber WannaCry

Daripada Wikipedia, ensiklopedia bebas.
Lompat ke: pandu arah, cari
Serangan siber WannaCry
Tarikh 12 Mei 2017 (2017-05-12) (masih berlangsung)
Lokasi Seluruh dunia
Penyebab Eksploitasi EternalBlue
Participants Tidak diketahui
Pendapatan Lebih daripada 230,000 komputer dijangkiti[1]

WannaCry (atau WannaCrypt,[2] WanaCrypt0r 2.0,[3][4] Wanna Decryptor[5] atau yang serupa[lower-alpha 1]) merupakan satu program perisian tebusan yang mensasarkan Microsoft Windows.[6] Pada hari Jumaat, 12 Mei 2017, satu serangan siber besar-besaran yang menggunakannya telah dilancarkan, menjangkiti lebih 230,000 komputer di 150 negara, meminta wang tebusan dalam bentuk bitcoin dalam 28 bahasa.[7] Serangan tersebut dinyatakan oleh Europol sebagai yang tidak pernah berlaku sebelum ini dari segi skala.[8] Serangan tersebut memberi kesan terhadap Telefónica, FedEx, Deutsche Bahn[9][10], dan Perkhidmatan Kesihatan Kebangsaan UK (NHS)[11][12][13], di samping beberapa entiti kerajaan dan korporat yang lain.[14]

WannaCry dipercayai menggunakan eksploitasi EternalBlue, yang dibangunkan oleh Agensi Keselamatan Kebangsaan AS (NSA)[15][16] untuk menyerang komputer yang menggunakan sistem pengendalian Microsoft Windows.[4][17] Walaupun satu perisian tampalan bagi membuang kelemahan tersebut telah dikeluarkan pada 14 Mac 2017,[18] pengguna yang bertangguh ketika mengenakan kemas kini keselamatan, ataupun yang menggunakan versi Windows yang sudah tidak lagi disokong, masih terdedah.[19] Microsoft telah mengambil satu langkah luar buasa dengan mengeluarkan kemas kini bagi Windows XP dan Windows Server 2003 yang sudah tidak lagi disokong dan perisian tampalan bagi sistem pengendalian Windows 8.[2][20]

Tidak lama kemudian selepas serangan 12 Mei, beberapa baris kod telah dijumpai oleh seorang pengkaji anti perisian jahat yang berfusi sebagai suis pemati, dan telah diaktifkan oleh pengkaji tersebut. Ia menghentikan sementara penyebaran virus tersebut. Kod tersebut asalnya dilaporkan dalam media sebagai suis pemati terbina dalam; namun, sesetengah penganalisa pula membuat keputusan bahawa ia merupakan kesilapan pengaturcaraan.[21]

Latar belakang[sunting | sunting sumber]

Pembawa jangkitan, EternalBlue, dilancarkan oleh kumpulan penggodam The Shadow Brokers pada 14 April 2017,[22][23] bersama-sama beberapa peralatan lain yang dibocorkan daripada Equation Group, yang dipercayai sebagai sebahagian daripada Agensi Keselamatan Kebangsaan Amerika Syarikat.[24][25]

Kelemahan eksploitasi EternalBlue MS17-010[18] dalam implementasi Microsoft bagi protokol Blok Mesej Pelayan (SMB). Microsoft telah mengeluarkan nasihat "Kritikal", bersama-sama satu perisian tampalan bagi memalam kelemahan tersebut sebulan sebelumnya, pada 14 Mac 2017.[18] Perisian tampalan ini memperbetulkan beberapa versi stesen kerja bagi sistem pengendalian Microsoft Windows termasuklah Windows Vista dan Windows 8 di samping versi pelayan dan terbenam seperti Windows Server 2008 dan Windows Embedded POSReady 2009, tetapi bukannya Windows XP yang lebih lama, menurut Microsoft.[18]

Bermula 21 April 2017, para pengkaji keselamatan mula melaporkan bahawa komputer dengan perisian pintu belakang DOUBLEPULSAR yang terpasang sudah mencapai puluhan ribu.[26] Menjelang April 25, laporan menganggarkan bahawa angka komputer yang dijangkiti sudah mencapai sehingga beberapa ratus ribu, dengan angka-angka berlegar sekitar 55,000 sehingga hampir 200,000, dan terus meningkat setiap hari.[27][28]

Serangan[sunting | sunting sumber]

Negara yang asalnya terjejas[29]

Pada 12 Mei 2017, WannaCry mula menyerang komputer di seluruh dunia.[30] Jangkitan awal mungkin melalui kelemahan pada sistem pertahanan rangkaian ataupun serangan phishing yang dirancang rapi.[31] Selepas dilancarkan, perisian jahat itu mula-mula akan memeriksa laman sesawang "suis pemati". Jika ia tidak ditemui, perisian tebusan itu akan mengengkrip data komputer,[32][33][34] kemudian cuba mengeksploitasi kelemahan SMB untuk disebarkan secara rawak ke komputer lain melalui Internet,[35] dan secara "lateral" ke komputer lain pada Rangkaian Kawasan Setempat (LAN) yang sama.[36] Seperti perisian tebusan yang lain, perisian ini memaparkan mesej memaklumkan kepada pengguna bahawa fail-fail mereka sudah dienkrip, dan meminta wang tebusan sekitar USD300 dalam bentuk bitcoin dalam masa tiga hari atau USD600 dalam masa 7 hari.[33][37]

Kelemahan Windows tersebut bukanlah kecacatan hari sifar, tetapi kelemahan yang mana Microsoft sudah pun menghasilkan perisian tampalannya pada 14 Mac 2017,[18] hampir dua bulan sebelum serangan. Perisian tampalan tersebut adalah untuk protokol Blok Pesanan Pelayan (SMB) yang digunakan oleh Windows.[38][39] Organisasi yang tiada perisian tampalan keselamatan ini menerima kesan atas sebab ini, walaupun setakat ini tiada bukti bahawa ada sasaran khusus oleh pembangun perisian tebusan itu.[38] Mana-mana organisasi yang masih menjalankan Windows XP yang lebih lama[40] berisiko tinggi kerana sehingga 13 Mei,[2] tiada tampalan keselamatan dikeluarkan sejak April 2014.[41] Susulan serangan tersebut, Microsoft mengeluarkan satu tampalan keselamatan Windows XP.[2]

Although another ransomware was spread through messages from a bank about a money transfer around the same time, no evidence for an initial email phishing campaign has been found in this case.[42]

Kempen[sunting | sunting sumber]

Kempen perisian tebusan tersebut tidak pernah berlaku sebelum ini dari segi skala menurut Europol.[8] Serangan tersebut memberi kesan terhadap banyak hospital kendalian Perkhidmatan Kesihatan Kebangsaan di UK,[43] dan sehingga 70,000 peranti – termasuklah komputer, pengimbas MRI, peti sejuk simpanan darah dan peralatan dewan bedah – mungkin menerima kesan.[44] Pada 12 Mei, beberapa perkhidmatan NHS terpaksa mengenepikan beberapa kes kecemasan bukan kritikal, dan beberapa buah ambulans dilencongkan.[11][45] Pada tahun 2016, beribu-ribu buah komputer di 42 amanah NHS berasingan di England dilaporkan masih menggunakan Windows XP.[40] Nissan Motor Manufacturing UK di Tyne and Wear, salah sebuah kilang kereta paling produktif di Eropah, terpaksa menghentikan pengeluaran setelah perisian tersebut menjangkiti beberapa buah sistem mereka. Renault juga menghentikan pengeluaran di beberapa buah kilang sebagai cubaan untuk menghentikan penyebaran perisian tebusan itu.[46][47]

Lihat juga[sunting | sunting sumber]

Rujukan[sunting | sunting sumber]

  1. ^ Cameron, Dell. "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Dicapai pada 13 May 2017. 
  2. ^ a b c d MSRC Team. "Customer Guidance for WannaCrypt attacks". Microsoft. Dicapai pada 13 May 2017. 
  3. ^ Jakub Kroustek (12 May 2017). "Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.". Avast Security News. Avast Software, Inc. 
  4. ^ a b Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Dicapai pada 12 May 2017. 
  5. ^ Woollaston, Victoria. "Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?". WIRED UK (dalam bahasa Inggeris). Dicapai pada 2017-05-13. 
  6. ^ The GenX Times Team. "WannaCry Ransomware attack computers worldwide, using NSA exploit codenamed Eternalblue". Dicapai pada 13 May 2017. 
  7. ^ "WannaCry Infecting More Than 230,000 Computers In 99 Countries". Eyerys. 12 May 2017. 
  8. ^ a b "Cyber-attack: Europol says it was unprecedented in scale". BBC News (dalam bahasa Inggeris). 2017-05-13. Dicapai pada 2017-05-13. 
  9. ^ Cox, Joseph (12 May 2017). "A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World". Motherboard (dalam bahasa Inggeris). Dicapai pada 12 May 2017. 
  10. ^ Larson, Selena (12 May 2017). "Massive ransomware attack hits 99 countries". CNN. Dicapai pada 12 May 2017. 
  11. ^ a b "NHS cyber-attack: GPs and hospitals hit by ransomware". BBC News (dalam bahasa Inggeris). 12 May 2017. Dicapai pada 12 May 2017. 
  12. ^ Hern, Alex; Gibbs, Samuel (12 May 2017). "What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?". The Guardian. London. ISSN 0261-3077. Dicapai pada 12 May 2017. 
  13. ^ "Statement on reported NHS cyber attack". digital.nhs.uk (dalam bahasa Inggeris). Dicapai pada 12 May 2017. 
  14. ^ Marsh, Sarah (12 May 2017). "The NHS trusts hit by malware – full list". The Guardian. London. Dicapai pada 12 May 2017. 
  15. ^ "NHS cyber attack: Edward Snowden says NSA should have prevented cyber attack". The Independent. Dicapai pada 13 May 2017. 
  16. ^ "NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history". The Daily Telegraph. Dicapai pada 13 May 2017. 
  17. ^ Larson, Selena (12 May 2017). "Massive ransomware attack hits 74 countries". CNNMoney. Dicapai pada 12 May 2017. 
  18. ^ a b c d e "Microsoft Security Bulletin MS17-010 – Critical". technet.microsoft.com. Dicapai pada 13 May 2017. 
  19. ^ 15:58, 12 May 2017 at; tweet_btn(), John Leyden. "WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain". theregister.co.uk. Dicapai pada 12 May 2017. 
  20. ^ Surur (13 May 2017). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Dicapai pada 13 May 2017. 
  21. ^ Malware Tech's blog: How to Accidentally Stop a Global Cyber Attacks
  22. ^ Menn, Joseph (17 February 2015). "Russian researchers expose breakthrough U.S. spying program". Reuters. Dicapai pada 24 November 2015. 
  23. ^ "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Ars Technica (dalam bahasa Inggeris). Dicapai pada 15 April 2017. 
  24. ^ Fox-Brewster, Thomas (16 February 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Dicapai pada 24 November 2015. 
  25. ^ "Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows". Medium. 14 April 2017. Dicapai pada 15 April 2017. 
  26. ^ Goodin, Dan. ">10,000 Windows computers may be infected by advanced NSA backdoor". ARS Technica (dalam bahasa Inggeris). Dicapai pada 2017-05-14. 
  27. ^ Goodin, Dan. "NSA backdoor detected on >55,000 Windows boxes can now be remotely removed". ARS Technica (dalam bahasa Inggeris). Dicapai pada 2017-05-14. 
  28. ^ Broersma, Matthew. "NSA Malware 'Infects Nearly 200,000 Systems'". Silicon (dalam bahasa Inggeris). Dicapai pada 2017-05-14. 
  29. ^ "Cyber-attack: Europol says it was unprecedented in scale". 13 May 2017 – melalui www.bbc.com. 
  30. ^ Newman, Lily Hay. "The Ransomware Meltdown Experts Warned About Is Here". Wired.com. Dicapai pada 13 May 2017. 
  31. ^ Goodin, Dan. "An NSA-derived ransomware worm is shutting down computers worldwide". ARS Technica (dalam bahasa Inggeris). Dicapai pada 2017-05-14. 
  32. ^ "Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency". The Telegraph (dalam bahasa Inggeris). Dicapai pada 12 May 2017. 
  33. ^ a b "What you need to know about the WannaCry Ransomware". Symantec Security Response. Dicapai pada 14 May 2017. 
  34. ^ Bilefsky, Dan; Perlroth, Nicole (12 May 2017). "Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool". The New York Times. ISSN 0362-4331. Dicapai pada 12 May 2017. 
  35. ^ Clark, Zammis. "The worm that spreads WanaCrypt0r". Malwarebytes Labs. malwarebytes.com. Dicapai pada 13 May 2017. 
  36. ^ Samani, Raj. "An Analysis of the WANNACRY Ransomware outbreak". McAfee. Dicapai pada 13 May 2017. 
  37. ^ Thomas, Andrea; Grove, Thomas; Gross, Jenny (2017-05-13). "More Cyberattack Victims Emerge as Agencies Search for Clues". Wall Street Journal. ISSN 0099-9660. Dicapai pada 2017-05-14. 
  38. ^ a b "WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit". eWeek. Dicapai pada 13 May 2017. 
  39. ^ "WannaCry: BSI ruft Betroffene auf, Infektionen zu melden" (dalam bahasa Jerman). heise online. Dicapai pada 14 May 2017. 
  40. ^ a b "NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP". Motherboard. Dicapai pada 13 May 2017. 
  41. ^ "Windows XP End of Support". www.microsoft.com. Dicapai pada 13 May 2017. 
  42. ^ Leyden, John. "'Jaff' argh snakes: 5m emails/hour ransomware floods inboxes". The Register (dalam bahasa Inggeris). Dicapai pada 2017-05-14. 
  43. ^ "Global cyberattack strikes dozens of countries, cripples U.K. hospitals". cbsnews.com. Dicapai pada 13 May 2017. 
  44. ^ Ungoed-Thomas, Jon; Henry, Robin; Gadher, Dipesh (14 May 2017). "Cyber-attack guides promoted on YouTube". The Sunday Times. Dicapai pada 14 May 2017. 
  45. ^ Wong, Julia Carrie; Solon, Olivia (12 May 2017). "Massive ransomware cyber-attack hits 74 countries around the world". The Guardian. London. Dicapai pada 12 May 2017. 
  46. ^ Sharman, Jon (13 May 2017). "Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France". www.independent.co.uk. Dicapai pada 13 May 2017. 
  47. ^ Rosemain, Mathieu; Le Guernigou, Yann; Davey, James (13 May 2017). "Renault stops production at several plants after ransomware cyber attack as Nissan also hacked". www.mirror.co.uk. Dicapai pada 13 May 2017. 
  1. ^ Juga dikenali dengan nama serupa.

Pautan luar[sunting | sunting sumber]