Baru-baru ini muncul serangan CryptoJacking besar-besaran yang menargetkan router MikroTik, sebagaimana yang ditulis oleh Simon Kenin, seorang peneliti dari Trustwave, pada tgl 31 Juli 2018 yang lalu. Simon Kenin mengamati adanya lonjakan tinggi CoinHive di Brazil yang semuanya melibatkan perangkat MikroTik. Lebih anehnya lagi, semua perangkat MikroTik tersebut menggunakan sitekey CoinHive yang sama, artinya mereka dikendalikan oleh 1 pihak saja dan digunakan untuk menambang virtual currency dari 1 pihak tertentu itu saja.

Notes: CoinHive adalah semacam software yang digunakan untuk “meminjam” kekuatan CPU para pengunjung website secara temporer untuk menambang virtual currency Monero.

Ternyata serangan ini mengeksploitasi kerentanan lama di Winbox utk MikroTik, yaitu CVE-2018-14847 yang sebenarnya juga telah langsung ditutup kelemahannya oleh pihak MikroTik dalam 1 hari saja, pada bulan April 2018. Jadi bilamana Anda masih menggunakan RouterOS versi 6.42, maka Anda rentan terhadap penyerangan ini.

Jika terkena serangan CryptoJacking ini, apa efeknya?

1. Konsumsi bandwidth Internet akan meningkat tajam, karena proses penambangan virtual currency selalu bekerja tanpa Anda ketahui/sadari
2. Akses Internet akan dirasa lebih lambat, dan bisa saja mengganggu kinerja para pengguna
3. Konsumsi processor pada komputer yang terkena akan meningkat, karena processor dipaksa bekerja untuk proses penambangan

Bagaimana cara mengatasinya? Segera upgrade RouterOS MikroTik Anda!

Kiranya bermanfaat.

Penyebarannya dilakukan melalui beberapa media, yaitu email attachment dan script di website. Selain itu, yang menyebabkan WannaCry bisa menyebar sangat cepat, adalah karena dia memanfaatkan lubang keamanan SMB di Windows.

Tatkala komputer kita terinfeksi Ransomware ini, maka WannaCry akan melakukan enkripsi pada data di harddisk (misalnya file Microsoft Word, Excel, PowerPoint, Visio, Outlook, file source code program dan database, file Virtual Machine, file gambar dan video, dll) dan selanjutnya menampilkan layar sebagai berikut:

Untuk mencegah penyebaran lebih lanjut, kita harus melakukan beberapa hal berikut:

• Meng-install patch di Microsoft Security Bulletin MS17-010. Apabila kita menggunakan Windows yang telah berakhir masa dukungannya (end of support), maka kita bisa download patch-nya di http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
• Mem-blokir traffic SMB ports (UDP 137, 138 dan TCP 139, 445) dan/atau menonaktifkan SMBv1 sesuai dengan artikel di https://support.microsoft.com/en-us/help/2696547.

Best practices untuk mencegah serangan ransomware di antaranya adalah:

• Melakukan backup data secara teratur, gunakan penyimpanan backup yang terpisah dan disimpan secara offline
• Menggunakan antivirus yang baik, serta melakukan update antivirus secara berkala setiap hari
• Menggunakan personal firewall yang dikonfigurasi dengan baik untuk mengamankan komputer kita
• Melakukan update untuk Operating System dan aplikasi yang terpasang
• Menggunakan logika pemikiran yang lebih berhati-hati, dengan tidak membuka attachment email sembarangan (walaupun dikirim dari orang-orang yang Anda kenal secara pribadi), tidak membuka link URL dalam email ataupun broadcastWhatsApp/Telegram/Line/Facebook/social media lainnya sebelum menganalisa apakah URL tersebut menggunakan domain yang kredibel dan sesuai konteks atau tidak
• Melakukan virus scanning secara mendalam, sebelum menggunakan external harddisk, USB flashdisk, memory card, ataupun media penyimpanan data lainnya

Bagi yang tertarik mengetahui lebih detil, Anda bisa melihat diagram alur eksekusi di bawah ini, dengan pembahasan di https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis:

Hati-hati, di beberapa media diutarakan bahwa Ransomware WannaCry ini sudah dilumpuhkan dengan adanya tindakan seorang ahli keamanan di MalwareTech yang mendaftarkan sebuah domain sebagai kill switch yang menyebabkan WannaCry ini tidak lagi melakukan aksinya.

Jadi, tatkala WannaCry berhasil connect ke domain tersebut (yang versi 1 adalah iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com dan ada varian lain yaitu ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com), maka justru WannaCry tidak akan melakukan apapun. Namun, jika tidak berhasil connect, WannaCry akan memicu dirinya untuk beraksi (lihat fungsi detonate() dipanggil dalam source code di atas)

Hati-hati, jangan lengah atas informasi kedua domain sudah diamankan karena untuk versi dan varian lain, metode kill switch ini sudah dipastikan tidak lagi digunakan.