Meski pandemic Covid-19 menjadi pusat fokus seluruh negara di dunia, dampaknya ternyata bukan hanya kepada dunia kedokteran dan kesehatan publik. Belakangan ini dunia cybersecurity juga terkena dampak krisis ini dengan semakin maraknya kejadian data breach yang menimpa hingga ke Indonesia. Survey yang di lakukan oleh Institute Security and Privacy di Carnegie Mellon University dan juga telah di presentasikan di IEEE Workshop 2020, telah memberikan kenyataan yang cukup membuat kaget praktisi cybersecurity. Pasalnya dari survey ini di temukan bahwa hanya terdapat 33 persen dari pengguna yang mengganti password setelah akunnya terkena insiden data breach. Dan yang lebih mengherankan lagi adalah sepertiga dari 33 persen pengguna tadi baru mengganti password akunnya tiga bulan kemudian. Pastinya kita semua sadar akan bahaya dari data breach terhadap privacy data, namun pada prakteknya tidak semua orang betul-betul menerapkan awareness yang dia ketahui. Wah, semoga sobat pendengar Bincang Cyber termasuk kelompok pengguna yang tidak hanya aware, namun juga terus meningkatkan keamanan atas akun yang di miliki. 
Pada episode ke 29 di Bincang Cyber ini, saya akan mengangkat kejadian insiden keamanan yang baru terjadi beberapa hari yang lalu. Yaitu serangan ransomware yang menimpa perusahaan otomotif Honda. Kejadian ini tentunya sangat mengagetkan, apalagi dengan nama besar yang di miliki perusahaan tersebut. Serangan yang tiba-tiba terjadi ini berdampak tidak hanya pada satu lokasi atau department, sehingga berpengaruh pada layanan kepada pelanggan. Komentar kritik dari pelanggan yang bersumber dari cuitan twitter pun muncul secara sporadis memberikan tekanan kepada perusahaan. Meski pihak perusahaan hingga saat podcast ini di rekam tidak memberikan keterangan detail tentang kondisinya, namun beberapa sumber yang saya peroleh dari berbagai peneliti dan sumber berita bisa saya rangkum disini. Mudah-mudahan bisa memberikan pencerahan tentang bahaya atas serangan ransomware secara umum.

Honda Ransomware attack

Kejadian yang serangan Ransomware yang menimpa sebuah global operation perusahaan otomotif Honda di Amerika Serikat baru-baru ini cukup mengejutkan banyak pihak. Hal ini tidak hanya menyebabkan system online mereka tidak dapat di akses oleh pelanggan, namun juga Honda terpaksa men-shutdown beberapa lokasi produksi, termasuk finansial service operation mereka. Serangan yang di lakukan oleh peretas adalah dengan memanfaatkan malware, yang bekerja dengan meng-encryption kan file-file yang tersimpan. Malware ini secara spesifik di sebut dengan Snake Ransomware. Ada banyak sekali varian jenis malware (atau malicious software), namun varian yang melakukan penyerangan dengan meng-encrypsi file sehingga tidak bisa di akses oleh pemiliknya di sebut sebagai ransomware. Tidak ada perubahan letak fisik file tadi, namun encryption yang di terapkan kepada file-file tersebut membuat akses pemilik menjadi tidak dapat di lakukan. Dan dalam kasus Honda, tidak di berikan pesan oleh peretas mengenai berapa banyak ransom (atau tebusan) yang di minta agar peretas memberikan akses kembali atas file yang telah di encryption tersebut. Oleh Honda peristiwa serangan ini di sebut sebagai major ransomware attack disebabkan besaran dampak dan impact kepada sistem operational mereka. Beberapa waktu berselang setelah kejadian, pihak regional Honda secara bertahap berhasil mengaktifkan kembali beberapa pabrik otomotif tersebut, namun tetap masih berkendala untuk mengaktifkan customer service website milik mereka. Hal ini terlihat dari beberapa komplain dari pelanggan melalui cuitan di twitter. 

Pihak Honda menjelaskan bahwa serangan ransomware ini tidak berdampak sama sekali kepada data pelanggan mereka, ini artinya informasi Personal Identifiable Informasion (PII) yang tersimpan di database Honda aman dari serangan peretas. Namun hal ini hanya di dasarkan kepada data yang di encryption oleh ransomware, namun belum dapat di buktikan atas log pencatatan data exfiltrate yang mungkin saja terjadi sebelum serangan encryption di lancarkan. Peneliti cybersecurity yang memiliki nickname Milkream menemukan sample dari ransomware yang menyerang dan kemudian di kirimkan kepada situs VirusTotal. Di dalamnya di temukan rutin untuk mencheck internal network Honda dengan url mds[dot]honda[dot]com. Hasil simulasi serangan ransomware ini dengan menginstall ransomware pada environmen sandbox menemukan bahwa ransomware ini langsung melakukan stop atau exit segera setelah di jalankan, di duga di sebabkan kegagalan untuk me-resolve url mds[dot]honda[dot]com tadi menyebabkan ransomware ini langsung berhenti. Di samping url mds tadi, di temukan pula bahwa ransomware ini terdapat rutin coding yang berkorespondensi dengan ip address 170[dot]108[dot]71[dot]153, yang memiliki hostname unspec170108[dot]amerhonda[dot]com. Tidak hanya satu IP ini, masih juga terdapat enam IP address lain dan satu email address dc[at]ctm[dot]as dalam rutin coding ransomware. Besar kemungkinan ransomware ini sangat aware dengan lokasi dimana dia di jalankan. Hal ini juga terlihat dari url yang di hard code ke dalam body malware tersebut. Atau bisa saja di asumsikan bahwa ransomware ini memang sedemikian rupa di buat untuk hanya dapat berjalan pada environment milik Honda. Hal ini pastinya akan membuat identifikasi atas proses serangan dan hal lain terkait dengan ransomware ini menjadi semakin sulit untuk di identifikasi. Honda tidak memberikan penjelasan apapun tentang bagaimana Snake ransomware ini dapat masuk menginfeksikan system yang berjalan. Namun beberapa penelitian dan feedback dari sumber di luar Honda menyebutkan, besar kemungkinan infeksi terjadi dengan perantaraan email phishing yang mengatas namakan Covid-19. Dari link yang tersedia dalam email phishing itulah, Snake ransomware kemudian di download hingga dapat menyebar di jaringan internal Honda. Krisis yang terjadi saat pandemic dan mempengaruhi psikologis enduser rupanya turut di manfaatkan oleh peretas untuk masuk dan menciptakan kerusakan.

Snake Ransomware

Ransomware yang menyerang Honda memiliki nama Snake, atau disebut juga Ekans (di baca terbalik dari Snake). Ransomware ini melakukan encryption file-file yang diserangnya dengan mempergunakan symmetric encryption AES-256 dan dan asymetric encryption RSA-2048 untuk key encryption. Dua model encryption ini di rekomendasi oleh NSA sebagai military grade encryption. Untuk membuka encryption AES-256 mengacu kepada kecepatan komputer saat ini, di perlukan 300 milyar tahun. Artinya, proses decryption tanpa mempergunakan key asli akan tidak mungkin di lakukan. Sedangkan untuk key asli yang dipergunakan untuk encryption tersebut, mungkin saja masih ada di memory perangkat (jika belum di reboot); namun tantangan selanjutnya adalah penerapan asymetric encryption pada key tersebut dengan mempergunakan RSA 2048. Kombinasi kedua encryption ini mematikan kemungkinan atas upaya dekripsi atas file-file tersebut.

 Ransomware menyerang dengan melakukan encrypsi file-file yang berada pada endpoint. Tidak hanya pada PC namun ini sudah berkembang sedemikian rupa sehingga bisa berpotensi menyerang endpoint lainnya. Proses encryption file-file tersebut mempergunakan symetric encryption. Ini artinya key yang di pakai untuk melakukan encryption adalah sama dengan key yang di pergunakan nantinya untuk proses dekripsi. Tentunya pertimbangan efisiensi penggunaan processor resources saat enkripsi di lakukan menjadi alasan utama penggunaan symetric encryption ini. Yang artinya, proses enkripsi bisa lebih cepat di lakukan tanpa pemilik merasakan pengaruh penurunan kecepatan secara significant. Segera setelah proses encryption secara symetric ini selesai di jalankan pada perangkat. Maka step selanjutnya adalah melindungi key tersebut. Inilah kemudian di jalankan rutin encryption RSA 2048 yang sifatnya asymetric, dengan kata lain key yang di pergunakan untuk encryption akan berbeda dengan key yang di pergunakan untuk dekripsi. Hal ini akan menutupi kelemahan dari key yang di hasilkan oleh symetric encryption tadi. Dan meskipun penggunaan processor untuk rutin asymetric ini lebih tinggi dari symetric, namun karena prosesnya hanya di lakukan satu kali (tentunya untuk key tadi), maka prosesnya akan relatif jauh lebih cepat. Kedua kombinasi ini menghasilkan kekuatan encryption dan eksposure kerusakan yang jauh lebih besar yang pastinya meningkatkan kemampuan ransomware dalam menciptakan kerusakan.

Bukan Serangan untuk Pertama kalinya

Serangan cybersecurity yang menimpa Honda adalah bukan merupakan serangan yang pertama kalinya terjadi. Pada July 2019 yang lalu seorang peneliti CyberSecurity yang bernama Justin Paine menemukan unsecured ElasticSearch database di cloud yang berisi 300,000 record data karyawan Honda di seluruh dunia, termasuk CEO nya sendiri. Tidak hanya Personally Identifiable Information (PII) yang terdapat pada database tersebut, namun juga informasi mengenai perangkat komputer pada jaringan. Informasi terkait perangkat komputer ini terdiri dari nama host, nama operating system, bahkan hingga status patch terakhir pada mesin tersebut. Di dalamnya juga di temukan sebuah table database yang bernama “uncontrolledmachines” yang berisi mesin perangkat komputer yang di dalamnya tidak terdapat software security apapun yang terinstall.

Setelah kejadian di July 2019 ini, pada tahun yang sama di 11 December, ditemukan kejadian serupa oleh peneliti CyberSecurity Bob Diachenko. Kali ini database ElasticSearch yang bersumber dari informasi telematics perangkat Honda di temukan dapat di akses oleh seluruh pengguna Internet. Yang artinya unprotected. Data pada table ini berisi informasi PII seperti: nama, email address, postal address; dan juga di tambah dengan data terkait kendaraan, seperti Vehicle Identification Number (VIN), Vehicle Make, dan Vehicle Model. Diperkirakan record yang bocor berjumlah 26,000