Bincang Cyber

Bincang Cyber


Honda dan Snake Ransomware – E29

June 14, 2020

Meski pandemic Covid-19 menjadi pusat fokus seluruh negara di dunia, dampaknya ternyata bukan hanya kepada dunia kedokteran dan kesehatan publik. Belakangan ini dunia cybersecurity juga terkena dampak krisis ini dengan semakin maraknya kejadian data breach yang menimpa hingga ke Indonesia. Survey yang di lakukan oleh Institute Security and Privacy di Carnegie Mellon University dan juga telah di presentasikan di IEEE Workshop 2020, telah memberikan kenyataan yang cukup membuat kaget praktisi cybersecurity. Pasalnya dari survey ini di temukan bahwa hanya terdapat 33 persen dari pengguna yang mengganti password setelah akunnya terkena insiden data breach. Dan yang lebih mengherankan lagi adalah sepertiga dari 33 persen pengguna tadi baru mengganti password akunnya tiga bulan kemudian. Pastinya kita semua sadar akan bahaya dari data breach terhadap privacy data, namun pada prakteknya tidak semua orang betul-betul menerapkan awareness yang dia ketahui. Wah, semoga sobat pendengar Bincang Cyber termasuk kelompok pengguna yang tidak hanya aware, namun juga terus meningkatkan keamanan atas akun yang di miliki. 
Pada episode ke 29 di Bincang Cyber ini, saya akan mengangkat kejadian insiden keamanan yang baru terjadi beberapa hari yang lalu. Yaitu serangan ransomware yang menimpa perusahaan otomotif Honda. Kejadian ini tentunya sangat mengagetkan, apalagi dengan nama besar yang di miliki perusahaan tersebut. Serangan yang tiba-tiba terjadi ini berdampak tidak hanya pada satu lokasi atau department, sehingga berpengaruh pada layanan kepada pelanggan. Komentar kritik dari pelanggan yang bersumber dari cuitan twitter pun muncul secara sporadis memberikan tekanan kepada perusahaan. Meski pihak perusahaan hingga saat podcast ini di rekam tidak memberikan keterangan detail tentang kondisinya, namun beberapa sumber yang saya peroleh dari berbagai peneliti dan sumber berita bisa saya rangkum disini. Mudah-mudahan bisa memberikan pencerahan tentang bahaya atas serangan ransomware secara umum.



Honda Ransomware attack

Kejadian yang serangan Ransomware yang menimpa sebuah global operation perusahaan otomotif Honda di Amerika Serikat baru-baru ini cukup mengejutkan banyak pihak. Hal ini tidak hanya menyebabkan system online mereka tidak dapat di akses oleh pelanggan, namun juga Honda terpaksa men-shutdown beberapa lokasi produksi, termasuk finansial service operation mereka. Serangan yang di lakukan oleh peretas adalah dengan memanfaatkan malware, yang bekerja dengan meng-encryption kan file-file yang tersimpan. Malware ini secara spesifik di sebut dengan Snake Ransomware. Ada banyak sekali varian jenis malware (atau malicious software), namun varian yang melakukan penyerangan dengan meng-encrypsi file sehingga tidak bisa di akses oleh pemiliknya di sebut sebagai ransomware. Tidak ada perubahan letak fisik file tadi, namun encryption yang di terapkan kepada file-file tersebut membuat akses pemilik menjadi tidak dapat di lakukan. Dan dalam kasus Honda, tidak di berikan pesan oleh peretas mengenai berapa banyak ransom (atau tebusan) yang di minta agar peretas memberikan akses kembali atas file yang telah di encryption tersebut. Oleh Honda peristiwa serangan ini di sebut sebagai major ransomware attack disebabkan besaran dampak dan impact kepada sistem operational mereka. Beberapa waktu berselang setelah kejadian, pihak regional Honda secara bertahap berhasil mengaktifkan kembali beberapa pabrik otomotif tersebut, namun tetap masih berkendala untuk mengaktifkan customer service website milik mereka. Hal ini terlihat dari beberapa komplain dari pelanggan melalui cuitan di twitter. 



Pihak Honda menjelaskan bahwa serangan ransomware ini tidak berdampak sama sekali kepada data pelanggan mereka, ini artinya informasi Personal Identifiable Informasion (PII) yang tersimpan di database Honda aman dari serangan peretas. Namun hal ini hanya di dasarkan kepada data yang di encryption oleh ransomware, namun belum dapat di buktikan atas log pencatatan data exfiltrate yang mungkin saja terjadi sebelum serangan encryption di lancarkan. Peneliti cybersecurity yang memiliki nickname Milkream menemukan sample dari ransomware yang menyerang dan kemudian di kirimkan kepada situs VirusTotal. Di dalamnya di temukan rutin untuk mencheck internal network Honda dengan url mds[dot]honda[dot]com. Hasil simulasi serangan ransomware ini dengan menginstall ransomware pada environmen sandbox menemukan bahwa ransomware ini langsung melakukan stop atau exit segera setelah di jalankan, di duga di sebabkan kegagalan untuk me-resolve url mds[dot]honda[dot]com tadi menyebabkan ransomware ini langsung berhenti. Di samping url mds tadi, di temukan pula bahwa ransomware ini terdapat rutin coding yang berkorespondensi dengan ip address 170[dot]108[dot]71[dot]153, yang memiliki hostname unspec170108[dot]amerhonda[dot]com. Tidak hanya satu IP ini, masih juga terdapat enam IP address lain dan satu email address dc[at]ctm[dot]as dalam rutin coding ransomware. Besar kemungkinan ransomware ini sangat aware dengan lokasi dimana dia di jalankan. Hal ini juga terlihat dari url yang di hard code ke dalam body malware tersebut. Atau bisa saja di asumsikan bahwa ransomware ini memang sedemikian rupa di buat untuk hanya dapat berjalan pada environment milik Honda. Hal ini pastinya akan membuat identifikasi atas proses serangan dan hal lain terkait dengan ransomware ini menjadi semakin sulit untuk di identifikasi. Honda tidak memberikan penjelasan apapun tentang bagaimana Snake ransomware ini dapat masuk menginfeksikan system yang berjalan. Namun beberapa penelitian dan feedback dari sumber di luar Honda menyebutkan, besar kemungkinan infeksi terjadi dengan perantaraan email phishing yang mengatas namakan Covid-19. Dari link yang tersedia dalam email phishing itulah, Snake ransomware kemudian di download hingga dapat menyebar di jaringan internal Honda. Krisis yang terjadi saat pandemic dan mempengaruhi psikologis enduser rupanya turut di manfaatkan oleh peretas untuk masuk dan menciptakan kerusakan.



Snake Ransomware

Ransomware yang menyerang Honda memiliki nama Snake, atau disebut juga Ekans (di baca terbalik dari Snake). Ransomware ini melakukan encryption file-file yang diserangnya dengan mempergunakan symmetric encryption AES-256 dan dan asymetric encryption RSA-2048 untuk key encryption. Dua model encryption ini di rekomendasi oleh NSA sebagai military grade encryption. Untuk membuka encryption AES-256 mengacu kepada kecepatan komputer saat ini, di perlukan 300 milyar tahun. Artinya, proses decryption tanpa mempergunakan key asli akan tidak mungkin di lakukan. Sedangkan untuk key asli yang dipergunakan untuk encryption tersebut, mungkin saja masih ada di memory perangkat (jika belum di reboot); namun tantangan selanjutnya adalah penerapan asymetric encryption pada key tersebut dengan mempergunakan RSA 2048. Kombinasi kedua encryption ini mematikan kemungkinan atas upaya dekripsi atas file-file tersebut.



 Ransomware menyerang dengan melakukan encrypsi file-file yang berada pada endpoint. Tidak hanya pada PC namun ini sudah berkembang sedemikian rupa sehingga bisa berpotensi menyerang endpoint lainnya. Proses encryption file-file tersebut mempergunakan symetric encryption. Ini artinya key yang di pakai untuk melakukan encryption adalah sama dengan key yang di pergunakan nantinya untuk proses dekripsi. Tentunya pertimbangan efisiensi penggunaan processor resources saat enkripsi di lakukan menjadi alasan utama penggunaan symetric encryption ini. Yang artinya, proses enkripsi bisa lebih cepat di lakukan tanpa pemilik merasakan pengaruh penurunan kecepatan secara significant. Segera setelah proses encryption secara symetric ini selesai di jalankan pada perangkat. Maka step selanjutnya adalah melindungi key tersebut. Inilah kemudian di jalankan rutin encryption RSA 2048 yang sifatnya asymetric, dengan kata lain key yang di pergunakan untuk encryption akan berbeda dengan key yang di pergunakan untuk dekripsi. Hal ini akan menutupi kelemahan dari key yang di hasilkan oleh symetric encryption tadi. Dan meskipun penggunaan processor untuk rutin asymetric ini lebih tinggi dari symetric, namun karena prosesnya hanya di lakukan satu kali (tentunya untuk key tadi), maka prosesnya akan relatif jauh lebih cepat. Kedua kombinasi ini menghasilkan kekuatan encryption dan eksposure kerusakan yang jauh lebih besar yang pastinya meningkatkan kemampuan ransomware dalam menciptakan kerusakan.



Bukan Serangan untuk Pertama kalinya

Serangan cybersecurity yang menimpa Honda adalah bukan merupakan serangan yang pertama kalinya terjadi. Pada July 2019 yang lalu seorang peneliti CyberSecurity yang bernama Justin Paine menemukan unsecured ElasticSearch database di cloud yang berisi 300,000 record data karyawan Honda di seluruh dunia, termasuk CEO nya sendiri. Tidak hanya Personally Identifiable Information (PII) yang terdapat pada database tersebut, namun juga informasi mengenai perangkat komputer pada jaringan. Informasi terkait perangkat komputer ini terdiri dari nama host, nama operating system, bahkan hingga status patch terakhir pada mesin tersebut. Di dalamnya juga di temukan sebuah table database yang bernama “uncontrolledmachines” yang berisi mesin perangkat komputer yang di dalamnya tidak terdapat software security apapun yang terinstall.



Setelah kejadian di July 2019 ini, pada tahun yang sama di 11 December, ditemukan kejadian serupa oleh peneliti CyberSecurity Bob Diachenko. Kali ini database ElasticSearch yang bersumber dari informasi telematics perangkat Honda di temukan dapat di akses oleh seluruh pengguna Internet. Yang artinya unprotected. Data pada table ini berisi informasi PII seperti: nama, email address, postal address; dan juga di tambah dengan data terkait kendaraan, seperti Vehicle Identification Number (VIN), Vehicle Make, dan Vehicle Model. Diperkirakan record yang bocor berjumlah 26,000 record pelanggan. Kedua serangan ini di sebabkan oleh misconfiguration pada tata kelola di Cloud, dan tentunya berbeda dengan serangan yang di alami oleh Honda di tahun 2020 yang disebabkan oleh ransomware Snake. 



Snake Ransomware

Ransomware Snake atau Ekans sudah mulai terindikasi di temukan oleh beberapa peneliti sejak December 2019. Peneliti yang tergabung dalam MalwareHunterTeam menemukan bahwa Snake ransomware ini memiliki kompleksitas dan kecanggihan yang lebih tinggi dari ransomware lainnya pada masa itu. Setelah menginfeksi target mesin, ransomware Snake mampu mematikan fungsi remote administration yang biasa di pakai oleh Administrator jaringan untuk melakukan maintenance pada perangkat komputer. Termasuk jalan masuk bagi administrator perusahaan untuk melakukan recovery pasca serangan terjadi. Hal ini pastinya menimbulkan kegagalan akses administration dan menyebabkan penanganan ransomware ini menjadi lebih lama dan kompleks. Setelah menginfeksi mesin dan meng-encrypt sebagian besar file yang ada di dalamnya, Snake ransomware memberikan “goodwill” dengan cara mengirimkan tiga file yang telah di decrypt kepada pemiliki perangkat sebagai bukti bahwa mereka akan mendecrypt semua file kembali ke asal setelah pembayaran atas ransom di penuhi oleh pemilik. Meski dalam kasus Honda, tidak di jelaskan besaran ransom yang di minta, juga deadline waktu pembayaran.



 Snake ransomware di tulis dalam bahasan Golang. Sebuah bahasa pemrograman yang mulai di buat pada tahun 2007 oleh tiga ahli di Google, yang kemudian resmi di perkenalkan sebagai open source program di tahun 2009. Bahasa Go adalah nama lain dari GoLang. Dari routine program yang di temukan oleh pimpinan SentinelLabs, Vitali Kremez, terlihat bahwa Snake memiliki tingkat obfuscation (pengacakan) yang tinggi. Dan berbeda dari varian ransomware lainnya. Pertama, Snake ransomware tidak langsung meng-encrypt file setelah menginfeksi perangkat. Malware ini menunggu hingga waktu tertentu (algoritma penentuannya belum di temukan). Pada waktu tersebut, barulah proses encryption di jalankan. Kedua, tidak seluruh file di encrypt, file dalam directory Windows System, Program files, Local Setting, dan AppData di biarkan dalam bentuk aslinya. Setelah file lainnya di encrypt, Snake ransomware kemudian merubah file ekstension dengan menambahkan lima character secara random. Dan setiap file yang di encrypt tersebut, di dalamnya di tambahkan kata “Ekans” sebagai signature penanda ransomware ini. Pada akhir proses, ransomware ini akan meninggalkan petunjuk pada teks file yang di letakkan pada Desktop perangkat yang terinfeksi. File tersebut di berikan nama Fix-Your-Files[dot]txt yang berisi instruksi untuk menghubungi peretas melalui alamat email yang di sediakan. Tidak hanya itu, dalam file teks ini, peretas menuliskan bahwa akan membantu men-decrypt tiga file yang di pilih oleh user dengan ketentuan ukuran maks sebesar 3 MB dan bukan merupakan file database ataupun spreadsheet. Peretas berjanji akan me-reply email yang di kirimkan dengan meng-attach 3 file ini.



Serangan Ransomware di kala Pandemic

Permasalahan yang menimpa Honda atau bahkan mungkin perusahaan lainnya adalah bukan semata-mata dampak dari serangan itu sendiri saja. Banyak faktor yang tentunya terkait dalam hal ini. Satu dampak yang paling mungkin adalah nama baik serta reputasi yang tercoreng akibat gagalnya melindungi perimeter keamanan dan data nasabah. Nah, khusus dalam situasi pandemic yang mana sebagian besar karyawan bekerja dirumah, bagi beberapa peneliti; hal ini menimbulkan perluasan area ancaman, atau threat landscape. Perangkat kerja yang berada di rumah karyawan sekarang ini perlu mendapatkan perhatian dari perusahaan. Khususnya terkait kecukupan perlindungan keamanan, seperti misalnya antivirus dan patching. Jika hal ini dulunya kurang mendapatkan perhatian, kini sudah tidak boleh lagi terlewatkan. Perusahaan di samping memberikan fasilitas konektifitas agar karyawannya bisa bekerja dari rumah atau lokasi remote lainnya, kini perlu lebih jeli memperhatikan anomali akses yang terjadi. Penerapan VPN yang menjadi tren saat Work From Home pada prakteknya hanya mampu melindungi Man-In-The-Middle attack. Artinya hanya melindungi saat Data sedang dalam perjalanan, dan tidak mampu mensortir mana transmisi yang legitimate dan mana yang malicious. Intinya, kurang mampu melindungi serangan yang bersumber dari perangkat yang ada di rumah. Misalnya jika salah satu perangkat yang di miliki anggota keluarga terinfeksi malware, maka tentunya hal ini tidak akan mampu melindungi perangkat lainnya dalam area router yang sama. Pasalnya, malware tersebut bisa saja berpindah antar satu perangkat ke perangkat lainnya sehingga pada akhirnya menginfeksi seluruh perangkat yang ada. Jika kondisi ini terjadi, maka serangan yang di lancarkan dari perangkat yang terinfeksi tersebut ke dalam jaringan kantor pun bisa menjadi kondisi berikutnya. Tentunya hal ini akan menambah kompleksitas perlindungan keamanan yang di perlukan, dan berpotensi menjadikan perusahaan sebagai korban serangan cybersecurity berikutnya. Dan jika hal ini terjadi, maka mungkin saja serangan tersebut di samping mematikan akses pelanggan ke service yang di sediakan perusahaan, juga mengakibatkan karyawan yang bekerja secara remote kini tidak lagi dapat melanjutkan aktifitas seperti biasanya. Hal ini tentunya sangat menyulitkan terlebih dalam kondisi pandemic seperti ini.



Sobat Bincang Cyber, kondisi pandemic tidak akan mengurangi inovasi yang di lakukan oleh peretas. Terlebih setelah secara statistik di temukan peningkatan pengangguran setdaknya dalam semester awal 2020. Kehilangan pekerjaan bukan berarti kehilangan keahlian. Serangan hacking terhadap perimeter, mungkin semakin sulit di lancarkan sehingga peretas memanfaatkan psikologis pengguna dengan mengaitkan dengan situasi pandemic. Tidak sedikit phishing yang memberikan email bohong dengan tujuan utama untuk menarik minat pembaca agar meng-klik link yang di berikan. Yang berakhir pada infeksi malware pada perangkat kita. Di tambah kondisi work from home yang tentunya bisa menjadikan pertahanan cyber di lokasi kita bekerja menjadi lebih rentan. Pada akhirnya saya hanya bisa berpendapat bahwa sebaik-baiknya keamanan cyber adalah penerapan atas pengetahuan dan awareness penggunanya. Tidak cukup dengan awareness saja, namun aktualita atas keilmuan tersebut pun masih perlu di buktikan. Keamanan cyber yang tadinya hanya di lokasi kantor, kini sudah menjangkau hingga ke lokasi rumah tinggal. Peran serta rekan-rekan dalam meningkatkan keamanan cyber perusahaan kini semakin menjadi sebuah kebutuhan penting. 


The post Honda dan Snake Ransomware – E29 written by Faisal Yahya appeared first on Bincang Cyber.