NotPetya 2017: Wiper Rusia yang Sebabkan Kerugian $10 Miliar Global
PELAKU
Unit GRU 26165 — sayap militer hacking Rusia. Aktif sejak 2004, terlibat dalam serangan DNC, Bundestag Jerman, dan WADA. Lebih agresif dan noisy dibanding APT29.
METODE
Menyisipkan backdoor ke software vendor yang dipercaya, lalu menunggu update terdistribusi ke ribuan korban. Contoh: SolarWinds, Kaseya, 3CX.
Supply-chain attack lewat update software akuntansi Ukraina M.E.Doc. Memakai eksploit EternalBlue + EternalRomance + Mimikatz untuk lateral movement super cepat. Maersk shipping global lumpuh seminggu (rebuild 4000 server + 45000 PC dari nol). Klaim insurance Mondelez ditolak Zurich karena klausul "act of war" — preseden besar untuk cyber insurance.
Konteks Operasional
NotPetya 2017 merupakan wiper malware yang dikemas sebagai ransomware, dengan target utama infrastruktur Ukraina namun berdampak global. Operasi ini mengeksploitasi kepercayaan dalam supply chain melalui kompromi update resmi M.E.Doc (software akuntansi dominan di Ukraina). Efek destruktif mencapai 10 miliar USD akibat downtime masif di korporasi multinasional.
Vektor Awal & Lateral Movement
Infeksi dimulai melalui trojanized update M.E.Doc yang menjalankan payload multi-stage:
- Stage 1: Backdoor berbasis PowerShell memanggil C2 untuk download additional payload
- Stage 2: Kombinasi eksploit EternalBlue (MS17-010) dan EternalRomance untuk lateral movement tanpa credential
- Stage 3: Mimikatz in-memory untuk credential harvesting, memungkinkan pivot ke domain admin dalam menit
Kecepatan propagasi mencapai 10,000 mesin per jam melalui SMBv1 yang tidak di-patch, bahkan di jaringan yang ter-segmentasi.
Pivot Yang Sering Diabaikan Defender
Tiga blind spot kritis dalam kasus NotPetya:
- Trusted Vendor Gap: Perusahaan menganggap update signed dari vendor lokal sebagai aman, tanpa verifikasi hash atau behavioral analysis
- Legacy Protocol Dependencies: SMBv1 tetap aktif untuk kompatibilitas dengan perangkat lawas, menjadi superhighway untuk worm propagation
- Over-Permissioned Service Accounts: Credential service account yang di-harvest Mimikatz sering memiliki privilege domain-wide tanpa MFA
Pelajaran untuk Tim Indonesia
- Implementasikan supply chain verification mandatory untuk semua software update, termasuk whitelisting hash dan sandboxing
- Deploy network segmentation keras dengan micro-perimeter untuk critical assets, blok SMBv1 secara global
- Latih incident response cold start skenario dimana seluruh infrastruktur harus dibangun dari nol (seperti kasus Maersk)
- Review polis asuransi siber untuk klausul "act of war" dan pastikan coverage mencakup state-sponsored attacks
Indikator Detection Yang Bisa Dipasang Besok
Registry Key:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\perfcNetwork IOC:DNS queries untuk *.drupalgardens[.]comProcess Injection:lsass.exe yang di-call dari process non-system dengan parameter --exportBehavioral:Volume shadow copy deletion + reboot dalam interval <5 menitLogging:Multiple SMB connection attempts dari single host ke seluruh subnet dalam window waktu pendek
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Audit security supplier software accounting/payroll
- Lateral movement detection (LSASS access, SMB scanning)
- Force admin credential rotation pasca patch
- Cyber insurance — baca klausul war exclusion
- Backup offline + air-gap untuk domain controller
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.