Credit image: Freepix
Pernahkah Anda mendengar tentang ransomware Petya atau NotPetya? Pada tahun 2017, NotPetya mengguncang dunia dengan kerugian lebih dari $10 miliar.
Menjadikannya salah satu serangan siber paling merusak dalam sejarah. Kini, para peneliti ESET menemukan varian baru yang jauh lebih berbahaya: HybridPetya.
Ditemukan di platform berbagi sampel VirusTotal, malware ini dijuluki HybridPetya karena menggabungkan karakteristik Petya (yang dapat mengembalikan kunci enkripsi) dan NotPetya (yang bersifat sangat merusak).
Yang paling mengkhawatirkan, malware ini dirancang untuk menyerang sistem komputer modern, bahkan yang dilindungi oleh teknologi keamanan canggih seperti UEFI Secure Boot.
|
Baca juga: Ransomware Afiliasi Negara |
HybridPetya Berbeda dan Sangat Berbahaya
Pada dasarnya, Petya dan NotPetya bekerja dengan cara yang mirip: mereka menginfeksi Master Boot Record (MBR) pada sistem lama, lalu mengenkripsi hard drive Anda.
Namun, HybridPetya membawa ancaman ini ke level yang lebih tinggi dengan dua kemampuan utama:
1. Kompatibel dengan Sistem Berbasis UEFI
Sistem komputer modern yang menggunakan teknologi UEFI (Unified Extensible Firmware Interface) jauh lebih aman daripada sistem lawas dengan BIOS tradisional.
Namun, HybridPetya mampu menginstal aplikasi berbahaya ke Partisi Sistem EFI (EFI System Partition/ESP), yang memungkinkan malware ini berjalan sebelum sistem operasi Anda dimuat.
Dengan demikian, HybridPetya dapat mengenkripsi file Master File Table (MFT), yang merupakan “daftar isi” dari semua file Anda di partisi NTFS.
Begitu MFT terenkripsi, sistem tidak dapat menemukan file apa pun, dan layar Anda akan menampilkan pesan permintaan tebusan.
2. Mampu Memanfaatkan Kerentanan UEFI Secure Boot
Yang paling mengejutkan, salah satu sampel HybridPetya yang ditemukan menunjukkan kemampuan untuk mengeksploitasi kerentanan yang dikenal sebagai CVE-2024-7344. I
ni adalah celah keamanan yang sebelumnya ditemukan dan diungkapkan oleh tim ESET, yang memungkinkan malware melewati UEFI Secure Boot.
UEFI Secure Boot seharusnya mencegah malware berjalan saat booting dengan memeriksa tanda tangan digitalnya. Namun, dengan memanfaatkan kerentanan ini, HybridPetya dapat berjalan di sistem yang firmware-nya belum diperbarui, menembus lapisan pertahanan yang seharusnya sangat kuat.
Meskipun saat ini belum ada laporan HybridPetya yang aktif menyebar di dunia nyata, keberadaannya menunjukkan tren yang mengkhawatirkan: peretas kini menargetkan lapisan sistem yang lebih dalam dan fundamental.
|
Baca juga: Tren Ransomware 2025 |
Cara Kerja HybridPetya
Sama seperti varian Petya, HybridPetya juga memiliki dua komponen utama: installer dan bootkit.
1. Proses Pemasangan (Installer)
Saat dijalankan, installer HybridPetya akan mendeteksi apakah sistem Anda menggunakan UEFI. Jika ya, ia akan:
- Menghapus bootloader utama Windows.
- Menyimpan konfigurasi enkripsi, termasuk kunci enkripsi Salsa20, ke partisi sistem.
- Membuat file verifikasi (verify file) yang akan digunakan untuk memastikan kunci dekripsi korban.
- Mencadangkan bootloader asli Windows ke file cadangan.
- Memicu Blue Screen of Death (BSOD) dan mematikan sistem.
Setelah sistem dinyalakan kembali, yang akan dimuat bukanlah Windows, melainkan bootkit HybridPetya yang sudah terpasang.
2. Proses Eksekusi (Bootkit)
Saat bootkit berjalan, ia akan:
- Bootkit akan memeriksa flag dalam file konfigurasi yang menentukan apakah hard drive siap dienkripsi (nilai 0) atau sudah terenkripsi (nilai 1).
- Jika statusnya siap, ia akan mengenkripsi file MFT. Selama proses ini, korban akan melihat layar CHKDSK palsu yang menunjukkan “pemeriksaan disk untuk kesalahan,” padahal sebenarnya data sedang dienkripsi. Setelah selesai, komputer akan reboot lagi.
- Jika statusnya sudah terenkripsi, bootkit akan menampilkan pesan tebusan. Pesan ini memiliki format yang mirip dengan NotPetya, tetapi dengan alamat Bitcoin dan email yang berbeda.
- Jika korban memasukkan kunci dekripsi yang valid, bootkit akan mengubah flag status dan memulai proses dekripsi MFT. Setelah selesai, ia akan memulihkan bootloader Windows asli dari cadangan dan meminta korban untuk reboot.
Mencegah HybridPetya
Meskipun HybridPetya belum menyebar luas, kemampuannya menunjukkan pentingnya mengambil langkah proaktif untuk melindungi sistem Anda.
- Ini adalah pertahanan paling penting. Pastikan firmware UEFI dan sistem operasi Anda selalu diperbarui. Pembaruan sering kali menambal kerentanan penting, seperti CVE-2024-7344, yang dieksploitasi oleh malware ini.
- Gunakan produk keamanan endpoint yang kuat, seperti ESET, yang mampu mendeteksi dan memblokir ancaman kompleks seperti bootkit dan ransomware sebelum mereka dapat menginfeksi sistem.
- Mengetahui cara kerja malware ini, seperti penggunaan layar CHKDSK palsu atau file MFT, membantu Anda mengenali tanda-tanda awal serangan.
HybridPetya adalah pengingat bahwa lanskap ancaman siber terus berevolusi. Serangan tidak lagi hanya menargetkan data atau aplikasi Anda, tetapi juga lapisan fundamental dari sistem Anda.
Meskipun terdengar rumit, inti dari perlindungan tetap sederhana: lakukan pembaruan secara berkala dan pastikan Anda memiliki pertahanan yang kuat.
Baca artikel lainnya:
- Asia Tenggara Lahan Basah Ransomware
- Pengembang Game Ketar-ketir Diburu Pengembang Ransomware
- Fenomena Ransomware Baru Bermunculan
- Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi
- 3 Fase Serangan Ransomware
- Persiapan Menghadapi Ransomware
- Serangan Multi Vektor Ransomware
- Panduan Ransomware Singkat
- PromptLock Lahirnya Ransomware Bertenaga AI Pertama
- Ransomware yang Menyamar sebagai ChatGPT
- Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
Sumber berita:
