Kryptos Logic, perusahaan keamanan cyber yang menjalankan sinkhole ransomware WannaCry utama, mengumumkan rencana hari ini untuk memungkinkan akses organisasi ke beberapa data sinkhole WannaCry.
Perusahaan keamanan mengutip infeksi ransomware WannaCry berulang yang masih berlangsung di berbagai perusahaan, bahkan sebelas bulan setelah wabah WannaCry pertama pada Mei 2017.
Misalnya, Boeing, agen negara bagian Connecticut, Honda, dan polisi negara bagian Victoria menderita infeksi WannaCry lama setelah peneliti Kryptos Logic Marcus “MalwareTech” Hutchins mendaftarkan domain killswitch WannaCry, secara efektif menghentikan wabah global pada 12 Mei tahun lalu.
Sistem yang belum di patch membuat WannaCry tetap hidup
Sejak itu, infeksi WannaCry baru telah bermunculan di organisasi di sana-sini, sementara lalu lintas ke domain killswitch telah menunjukkan “sedikit tanda-tanda melambat,” menurut Kryptos Logic.
“Kami memperkirakan […] [bahwa] ratusan ribu infeksi yang disebabkan oleh Windows yang tidak di patch dan tidak aktif mempertahankan pijakan dan bertanggung jawab untuk propagasi residual dan lanjutan dari WannaCry,” kata para peneliti.
Alasan mengapa WannaCry terus membuat masalah adalah karena banyak organisasi tidak memperbaiki sistem Windows dengan menerapkan pembaruan keamanan MS17-010 yang mengurangi kerentanan yang digunakan oleh EternalBlue, mengeksploitasi di jantung modul WannaCry yang menyebar sendiri.
Ini tidak akan menjadi masalah besar jika konfigurasi dari beberapa jaringan perusahaan tidak akan secara tidak sengaja atau sementara memblokir akses ke domain sinkhole atau killswitch WannaCry. Dalam situasi di mana ini terjadi, WannaCry pergi dari perilaku worm SMB yang menyebar sendiri ke ransomware aktual dan mulai mengenkripsi file.
Kryptos Logic meluncurkan Telltale
Untuk mengatasi masalah ini, Kryptos Logic merilis alat bernama Telltale yang menawarkan akses organisasi ke data sinkhole WannaCry gratis dan alat tambahan.
Perusahaan dapat menggunakan Telltale untuk memantau rentang alamat IP mereka untuk hit ke sinkhole WannaCry, yang pada gilirannya memungkinkan administrator sistem untuk melacak mesin lokal yang terinfeksi oleh worm WannaCry di jaringan mereka. Mesin-mesin ini menginfeksi sistem lain yang tidak di-patch atau bisa, kapan saja, berubah menjadi wabah ransomware internal, mirip dengan apa yang terjadi di Honda atau Boeing tahun lalu.
