WannaCry 2017: Ransomware Lazarus Lumpuhkan 200.000 Komputer di 150 Negara
PELAKU
Lazarus Group adalah unit hacking yang disponsori negara Korea Utara di bawah Bureau 121 (Reconnaissance General Bureau). Beroperasi sejak 2009, mereka menjadi terkenal lewat heist SWIFT, ransomware WannaCry, dan pencurian crypto miliaran dolar yang dipakai untuk membiayai program rudal Pyongyang.
METODE
Eksploit untuk vulnerability yang belum diketahui vendor — tidak ada patch saat dipakai. Harga di black market: $50K–$2.5M per eksploit.
Pada 12 Mei 2017, WannaCry menyebar lewat eksploit SMB EternalBlue yang dicuri Shadow Brokers dari NSA. NHS Inggris terdampak parah — 19.000 appointment dibatalkan, ambulans dialihkan. Marcus Hutchins ("MalwareTech") tidak sengaja men-trigger kill switch dengan registrasi domain $10.69. Estimasi kerugian global $4-8 miliar.
Konteks Operasional
WannaCry merupakan ransomware wormable yang memanfaatkan kerentanan SMBv1 (CVE-2017-0144) di Windows. Lazarus Group memodifikasi EternalBlue exploit toolkit dari Shadow Brokers untuk payload delivery dengan mekanisme self-replication. Target utama sektor kesehatan (NHS UK) dipilih karena criticality system dan patch management yang lemah. Rata-rata waktu infeksi hingga enkripsi: 3 jam 42 menit.
Vektor Awal & Lateral Movement
Infeksi dimulai melalui phishing dengan malicious Office document (hash SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa) yang menjalankan DoublePulsar backdoor. Setelah foothold:
- EternalBlue digunakan untuk eksploitasi SMB tanpa autentikasi
- Payload utama (mssecsvc.exe) melakukan scanning subnet /16 untuk host vulnerable
- Task scheduler di-set untuk persistence (schtasks /create /sc minute /mo 1)
- Worm component (tasksche.exe) menginfeksi seluruh jaringan melalui IPC$ share
Pivot Yang Sering Diabaikan Defender
Tim IT NHS gagal mendeteksi tiga anomaly kunci:
- Outbound SMB traffic dari workstation ke segmentasi jaringan lain (port 445 TCP)
- Massive DNS queries untuk domain kill switch (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) sebelum enkripsi
- Abnormal PsExec spawn dari workstation non-admin ke domain controllers
Pelajaran untuk Tim Indonesia
- Segmentasi jaringan health-care system harus memisahkan strictly medical devices dari workstation umum
- Implementasi Network Access Control (NAC) untuk memblokir SMBv1 traffic antar VLAN
- Patch management cycle maksimal 72 jam untuk critical vulnerability (CVSS ≥9.0)
- Simulasi ransomware response plan dengan skenario wormable malware setiap 6 bulan
Indikator Detection Yang Bisa Dipasang Besok
Sigma rule: "Suspicious PsExec Service Installation"untuk deteksi lateral movement via service creationET OPEN Rule: Trojan.Ransom.WannaCry Outbound"(ET ID 2026124) di perimeter firewallSysmon EventID 1dengan filter parent process = "tasksche.exe"YARA ruleuntuk deteksi WannaCry RSA public key dalam memory dump (0xC000034B)
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Patch MS17-010 dirilis Maret 2017 — 2 bulan sebelum WannaCry
- Disable SMBv1 di seluruh jaringan
- Segmentasi VLAN untuk legacy systems
- Offline + immutable backup mandatory
- Subscribe vendor security advisory
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.