12 Mei, adalah peringatan satu tahun dari wabah ransomware WannaCry. Tepat satu tahun setelah insiden keamanan cyber terbesar dalam sejarah, exploit di jantung serangan WannaCry sekarang lebih populer daripada sebelumnya, menurut data telemetri yang dikumpulkan oleh vendor antivirus Slovakia ESET.
Dinamakan EternalBlue, eksploitasi itu seharusnya dikembangkan oleh divisi cyber dari National Security Agency AS. EternalBlue exploit adalah bagian dari alat yang berhasil dicuri dari server NSA pada tahun 2016 oleh kelompok hacker yang dikenal sebagai The Shadow Brokers dan kemudian dibocorkan secara online dari Agustus 2016 hingga April 2017.
Banyak yang menduga NSA mungkin telah memberi tahu Microsoft tentang apa yang dicuri The Shadow Brokers, karena pada Maret 2017, sebulan sebelum EternalBlue dirilis, Microsoft merilis MS17-010, buletin keamanan yang berisi patch untuk banyak penargetan SMB.
EternalBlue tidak meluas pada awalnya
Apa yang terjadi selanjutnya didokumentasikan dengan baik, dengan EternalBlue digunakan untuk membuat mekanisme penyebaran diri untuk ransomware WannaCry, dan kemudian untuk wabah ransomware berikutnya seperti NotPetya dan Bad Rabbit.
Dampak EternalBlue sangat buruk, dengan total perusahaan yang mengalami kerugian lebih dari $8 miliar di 150 negara hanya dari insiden WannaCry saja, menurut IBM X-Force.
Tetapi versi awal EternalBlue tidak sempurna. Ini hanya bekerja pada Windows 7, Windows Server 2008 dan pada Windows XP.
EternalBlue melakukan banyak kerusakan selama WannaCry, tetapi sangat sedikit pembuat malware yang tahu cara menggunakannya. Inilah sebabnya, menurut ESET, bahwa tak lama setelah WannaCry, penggunaan EternalBlue sangat menurun.
EternalBlue tumbuh di luar WannaCry menjadi malware komoditas
Tapi semuanya berubah selama insiden paska-WannaCry dan paska-NotPetya. Sebagai permulaan, peneliti keamanan mem-porting EternalBlue ke lebih banyak platform, seperti Windows 8 dan Server 2012, dan kemudian bahkan Windows 10.
Ini memperluas kemampuan eksploitasi untuk menginfeksi lebih banyak korban daripada biasanya dan menjadikannya sebagai komoditas di antara para pembuat malware.
Pada bulan-bulan berikutnya, EternalBlue menyebar dari operasi crypto-minning biasa sampai gudang kelompok spionase cyber tingkat negara.
EternalBlue hidup berkat sistem yang rentan
Bahkan jika EternalBlue tidak digunakan lagi untuk membantu ransomware menjadi mimpi buruk di tingkat global (hanya pada tingkat jaringan), sebagian besar pengguna biasa tidak tahu bahwa itu masih merupakan salah satu ancaman terbesar saat ini.
Ancaman ini tidak hanya berasal dari pembuat malware yang terus menggunakannya untuk beragam operasi. Pembuat malware tidak akan pernah peduli dengan eksploitasi yang tidak efisien. EternalBlue terus menjadi ancaman karena sistem yang rentan masih tersedia secara online.
Menurut Nate Warfield dari Microsoft Security Response Center, masih ada banyak sistem Windows rentan yang mengekspos layanan SMB mereka dan tersedia secara online.
Almost a year after WannaCry and there's still over a million SMB servers without auth exposed to the world. At least it looks like "only" 66k of them are running Windows 🤦♂️🤦♂️ pic.twitter.com/ZBlPA0SJU2
— Nate W. | #BlackLivesMatter | #NoJusticeNoPeace (@n0x08) May 11, 2018
EternalBlue juga kemungkinan besar salah satu alasan Microsoft bereaksi dengan pengiriman versi baru dari OS Windows dengan SMBv1 yang dinonaktifkan, yang mana merupakan protokol incaran EternalBlue.
EternalBlue akan tetap menjadi ancaman bagi masa mendatang
Kryptos Logic, perusahaan di belakang sinkhole WannaCry juga mengungkapkan hal yang sama beberapa minggu yang lalu. Perusahaan menunjukkan bahwa infeksi WannaCry residual masih menggunakan EternalBlue untuk menginfeksi korban baru, bahkan hingga hari ini, dengan “jutaan” perangkat memindai Internet untuk sistem yang rentan dan menyebarkan EternalBlue dalam upaya untuk menginfeksi mereka dengan WannaCry.
Sinkhole menghentikan WannaCry dari mengenkripsi file, tetapi eksploitasi EternalBlue yang digunakan untuk sistem self-spreading WannaCry masih berjalan baik-baik saja, bahkan sampai hari ini.
Kuncinya adalah bahwa organisasi yang gagal menerapkan patch MS17-010, dan sistem rentan mereka akan menjaga ancaman ini tetap aktif selama bertahun-tahun yang akan datang, sama seperti kita masih melihat worm dari awal 2000-an yang masih berkeliaran.
