NotPetya: serangan siber termahal sepanjang masa

25 Februari 2026 • 10 min read

Akhir Juni 2017, di Ukraina terjadi sesuatu yang sekilas terlihat seperti “ransomware biasa”: komputer reboot, file tiba-tiba tidak bisa diakses, dan muncul tuntutan tebusan di layar.

Beberapa jam kemudian, semuanya jelas: ini bukan insiden lokal. Ini kebakaran besar.

Nama yang melekat sampai sekarang adalah NotPetya. Ia menjadi contoh bagaimana “gelombang malware yang tampak sederhana” bisa berubah menjadi kejadian yang melumpuhkan perusahaan secara global dan menimbulkan kerugian miliaran.

Di tulisan ini, aku ingin menggabungkan dua hal:

Cerita di balik NotPetya: apa yang terjadi saat itu, dan kenapa jadi begitu mahal?
Perspektif praktis: apa artinya buat perusahaan “normal” hari ini—bukan hanya raksasa Fortune 500?

Yang tidak nyaman dari NotPetya bukan karena ia “terlalu kompleks”. Yang tidak nyaman adalah: ini terasa sangat realistis.

Kenapa aku menulis ini di 2026? Karena hari ini kita bisa bicara tentang phishing deepfake berbasis AI, tetapi saat krisis kita masih sering jatuh pada hal-hal yang sama membosankannya seperti 2017: segmentasi yang buruk dan backup yang “nyedot” dari jalur yang sama dengan produksi.

NotPetya dalam 5 menit: apa yang terjadi?

Untuk memahami konteksnya, kita perlu merapikan urutan kejadian.

Pada 27 Juni 2017, NotPetya pertama kali muncul di Ukraina dan kemudian menyebar sangat cepat secara global. Salah satu faktor kunci adalah update yang sudah dikompromikan dari software akuntansi yang sangat umum dipakai di Ukraina (M.E.Doc). Malware-nya tidak masuk lewat “satu klik bodoh”, tetapi lewat mekanisme yang dipakai perusahaan setiap hari: update.

Dan ini sering diremehkan kalau melihat ke belakang: pada intinya ini adalah supply-chain attack (serangan rantai pasok). M.E.Doc bukan target “kebetulan”; ini tuas yang sempurna karena update memang dipercaya by design.

Pelajarannya buat hari ini pahit tapi penting: kamu bisa mengelola IT internal dengan sangat rapi—kalau software dari vendor, akuntan, konektor ERP, atau tool pihak ketiga dikorupsi, kamu tetap kena. Risiko supply chain bukan “masalah cloud”; ini, sangat konkretnya, masalah update.

Begitu NotPetya sudah ada di jaringan, masalahnya bukan lagi perangkat satuan, tapi Lateral Movement (pergerakan lateral):

Lewat SMB dan celah yang sudah dikenal (termasuk EternalBlue / MS17-010, exploit yang bocor dari toolset NSA), NotPetya bisa menyebar ke sistem Windows lain tanpa interaksi pengguna.
Secara paralel, ia memakai credential dumping (Mimikatz/LSASS) untuk mengambil password/hash dari RAM dan bergerak memakai kredensial admin yang “asli”.
Untuk remote execution, ia memakai “tool admin normal” (mis. PsExec/WMI). Kombinasi ini berbahaya karena di log awalnya bisa terlihat seperti “aktivitas operasional biasa”.

Inilah “resep rahasianya”: exploit untuk lompat cepat ke sistem baru, kredensial dari memori untuk dapat privilege sungguhan, lalu skala dengan tool bawaan.

Poin pentingnya: patching saja tidak cukup. Bahkan jika sebuah sistem sudah dipatch dari EternalBlue, ia tetap bisa tumbang begitu malware berhasil mendapatkan kredensial/hash admin valid dari bagian lain jaringan.

NotPetya juga bermain dengan waktu: ada delay dan “ledakan besar” (reboot/wipe) tidak dipaksa seketika, tetapi setelah beberapa waktu. Ini menyulitkan deteksi dan—sebagai bonus—jadi pola klasik anti-sandbox, karena malware tidak langsung “meledak” sementara di belakang sudah melakukan skala.

Hasilnya persis seperti yang selalu terlihat:

Awalnya beberapa sistem terlihat “aneh”.
Lalu tiba-tiba satu lokasi ambruk.
Dan kalau kamu tidak bereaksi sangat cepat (putus jaringan, lock account, tutup batas segmentasi), ini bisa melompat antar-site.

Kenapa “ransomware” cuma kamuflase

NotPetya sering dianggap ransomware karena menampilkan permintaan tebusan. Secara teknis dan secara praktik, itu bukan intinya.

Kuncinya: NotPetya pada dasarnya adalah wiper. Malware yang tujuannya bukan “mencari uang”, melainkan merusak sistem dan menghentikan operasi.

Kedengarannya seperti permainan istilah. Di incident nyata, ini beda besar:

Pada ransomware klasik, (kadang) masih ada peluang memulihkan data lewat key atau negosiasi.
Pada wiper, targetnya “rusak”. Bayar Bitcoin pun tidak menolong.

Di NotPetya ada detail teknis yang makin menegaskan sifat wiper: ia menimpa MBR (Master Boot Record) dan mengenkripsi MFT (Master File Table). Bahkan “mekanisme ransomware”-nya pun salah implementasi: installation ID yang ditampilkan dibuat acak dan tidak terhubung dengan benar ke key dekripsi yang bisa dipakai. Artinya: secara teknis, nyaris tidak ada jalan balik.

Itulah kenapa NotPetya begitu kejam: banyak perusahaan pada awalnya masuk ke playbook yang salah. Kamu pikir “playbook ransomware”, padahal yang dibutuhkan adalah “playbook disaster recovery”.

Bahwa serangannya lebih berorientasi penghancuran daripada uang juga sejalan dengan atribusi kemudian: beberapa pemerintah secara publik mengaitkan NotPetya dengan aktor negara Rusia.

10 miliar dolar: kenapa jadi semahal itu?

Kalau kamu hanya melihat label “ransomware”, kerusakannya terasa sulit dijelaskan. “Tinggal restore backup, kan?”

Di dunia nyata, NotPetya mahal terutama karena ia memukul titik yang sering kurang dapat anggaran: availability.

Biaya terbesar bukan malware-nya, tapi downtime.

Jalur produksi berhenti.
Logistik balik ke kertas.
Identitas dan domain harus dibangun ulang.
Aplikasi, integrasi, dan dependensi jatuh satu per satu.
Dan ini terjadi bukan di satu sistem, tapi banyak sekaligus.

Karena itu NotPetya sering disebut “serangan siber termahal sepanjang masa”. Banyak laporan memperkirakan total kerugian sekitar 10 miliar dolar AS.

Angka perusahaan individual juga menunjukkan itu: Merck, FedEx (termasuk TNT Express), dan Mondelez menjelaskan secara konkret bahwa ini bukan “urusan IT”, tetapi urusan bisnis dengan dampak nyata ke pendapatan, biaya, dan kemampuan pengiriman.

NotPetya juga memicu drama legal besar: perusahaan berdebat dengan asuransi. Beberapa insurer mencoba tidak membayar dengan mengklasifikasikan NotPetya sebagai “Act of War” (serangan yang diarahkan negara). Salah satu kasus yang terkenal adalah sengketa Mondelez dengan insurer-nya. Pelajarannya sampai hari ini keras: apakah cyber insurance-mu mencakup serangan negara, atau justru war exclusion yang berlaku saat kamu paling butuh?

Update untuk pembaca pro: kasus Mondelez diselesaikan pada 2023. Sejak itu (dan secara umum setelah NotPetya), banyak polis memperketat wording: di banyak kontrak, serangan “state-motivated” didefinisikan lebih sempit atau secara eksplisit dikecualikan. Ini membuat cyber insurance menjadi risiko finansial nyata kalau kamu tidak benar-benar memahami klausulnya.

Dan satu hal lagi: bahkan jika kamu “hanya” me-restore IT, di praktiknya kamu berurusan dengan dependensi.

Contoh yang sering muncul dalam retrospektif adalah Maersk: ini bukan soal beberapa file terenkripsi, tetapi membangun ulang sistem inti, identitas, dan IT operasional agar pelabuhan dan logistik bisa jalan lagi.

Ceritanya legendaris karena menunjukkan betapa rapuhnya identitas dan backup: Maersk praktis kehilangan seluruh Active Directory—kecuali satu Domain Controller di Ghana yang kebetulan sedang offline karena pemadaman listrik saat serangan terjadi. “Lucky Punch” ini pada dasarnya menjadi backup offline yang tidak disengaja: lewat satu server fisik itu, mereka bisa merekonstruksi AD global dan mempercepat pemulihan.

Pada akhirnya, ini tidak hanya memukul “IT”, tapi bisnis langsung:

Perusahaan makanan: produksi, perencanaan, dan supply chain macet.
Perusahaan pelayaran: kontainer tidak bergerak.
Perusahaan farmasi: manufaktur, proses kualitas, dan kemampuan pengiriman tertekan.

Itulah kenapa angkanya begitu tinggi: layar tebusan hanya gejala. Kerusakan sesungguhnya adalah downtime.

Skenario praktis: insiden yang realistis untuk perusahaan “normal”

Aku sengaja mau menggambarkan skenario yang tidak terasa seperti Hollywood. Bukan “state actor vs big tech”, tetapi sesuatu yang sangat mungkin terjadi di perusahaan menengah.

Bayangkan perusahaan menengah:

Satu kantor pusat, satu kantor kecil.
Setup Windows klasik: AD, file server, beberapa VM, ERP.
Ditambah beberapa sistem yang “tidak disentuh” karena alasan bagus: kontrol mesin, software khusus yang tua, “Windows Server 2008 entah apa” karena vendor tidak pernah upgrade.
Backup ada: harian ke NAS, mingguan juga ke sistem kedua.

Dan ini poin yang sering diremehkan:

Perusahaan ini tidak “kurang security” karena semua orang tidak kompeten. Melainkan karena operasional dan waktu selalu menang.

Patching ditunda karena produksi mepet. Segmentasi “nanti aja” karena VLAN itu kerjaan. Password admin lokal terbentuk secara historis. Dan NAS tentu online, karena restore kalau tidak online itu ribet.

Timeline (realistis, tidak dramatis)

Selasa pagi, ada update masuk. Bisa dari vendor, tool pihak ketiga, konektor—apa pun yang auto-update. Atau sistem partner yang dikompromikan, lalu akses via VPN.

08:10: client pertama mulai tidak stabil. Reboot di sini, error aneh di sana.
08:25: file server pertama mulai lambat. Tiket helpdesk naik.
08:40: tiba-tiba “domain aneh”. Login lambat, group policy kacau.
09:00: admin login “buat cek sebentar”. Sering kali ini momen lateral movement makin kencang.
09:20: satu lokasi praktis offline.

Dan ini bagian yang baru terasa setelah lewat:

Kalau kamu tidak segera memutus dengan tegas, kerusakan tidak naik linear—melainkan eksponensial.

Dan tentu saja muncul pertanyaan yang selalu muncul:

“Harus bayar?”

Di NotPetya, jawaban pahitnya: bahkan kalau kamu mau, itu kemungkinan besar bukan solusi. Secara psikologis ini berat, karena kamu harus langsung masuk mode “bangun ulang”, bukan “dekripsi”.

Semakin lama kamu menunggu, semakin banyak sistem yang harus dibangun ulang. Semakin banyak yang dibangun ulang, semakin lama kamu beroperasi dalam mode darurat. Dan semakin lama mode darurat, semakin mahal biayanya.

Yang benar-benar menyakitkan

Setelah beberapa jam, jelas: ini bukan “restore beberapa file”. Ini “bangun ulang Active Directory dan sistem inti”.

Lalu kamu sadar:

Backup-mu online dan ikut kena.
Dokumentasi tidak up to date.
Kamu kekurangan “golden image” untuk reimage cepat.
Kredensial admin ada di mana-mana.
Tidak ada yang pernah latihan bagaimana mem-segmentasi lokasi dalam 30 menit.

Itu momen ketika incident IT berubah jadi krisis perusahaan.

Apa yang dilakukan SOC hari ini (dan peran AI)

Di Security Operations Center (SOC) besar, miliaran event dari banyak sumber masuk setiap hari. Ini bukan lagi “admin lihat firewall log”, tetapi proses industrial: telemetry, korelasi, automasi, dan analisis manusia.

Yang menarik adalah pembagian peran:

AI/automasi sebagai lini pertama: memilah, mengorelasikan, mengenali pola, dan memfilter yang jelas.
Manusia sebagai lini kedua/ketiga: saat kasus kritis atau tidak jelas, analis mengambil alih, memutuskan tindakan, dan mengoordinasikan respons.

Terdengar seperti “cuma untuk enterprise”, tapi pelajarannya penting juga buat yang kecil:

Kamu tidak harus membangun SOC sendiri. Tapi kamu butuh pola pikir yang sama:

Kumpulkan sinyal (EDR, firewall, auth log).
Definisikan apa itu “normal”.
Punya proses yang bereaksi dalam menit, bukan hari.

NotPetya pada 2017 sudah begitu cepat sehingga manusia tidak mungkin “bereaksi cukup cepat” begitu penyebaran berjalan. Peran AI bukan sekadar “lebih cepat lagi”, tetapi membantu menemukan anomali lebih awal di dalam noise (misalnya, jam 03:00 tiba-tiba 500 mesin ingin ngobrol SMB satu sama lain). Menit-menit itu yang menentukan: lihat lebih cepat, batasi lebih cepat, isolasi lebih cepat.

Dan kemudian ada mindset yang makin sering jadi default:

Assume breach.

Rencanakan seolah penyerang sudah ada di dalam. Bukan karena paranoia, tetapi pragmatis.

Minimum yang ingin aku lihat hari ini (tanpa budget enterprise)

Kalau kamu mau mengambil satu hal dari NotPetya, ambil ini:

NotPetya bukan “satu celah”. NotPetya adalah rantai kelemahan yang saling memperkuat.

Kabar baiknya: karena itu juga, beberapa basic bisa menurunkan risiko besar.

1) Patch & exposure management (serius)

Update Windows kritis (terutama terkait SMB) tidak boleh “nanti”.
Semua yang reachable dari luar harus prioritas.
Kalau butuh legacy: minimal segmentasi, dengan aturan jelas.

2) Buat lateral movement jadi menyusahkan

Pisahkan akun admin (harian vs admin).
Password admin lokal unik per perangkat (LAPS).
Jangan biarkan tool admin remote (WMI, PsExec) terbuka di semua tempat.
Batasi SMB di tempat yang tidak benar-benar perlu.

3) Segmentasi, tapi pragmatis

Kamu tidak harus langsung “Zero Trust sempurna”. Tapi:

Client, server, backup, dan OT/produksi tidak boleh di satu jaringan datar.
Domain Controller adalah tier 0 dan harus dilindungi sesuai levelnya.
Traffic east-west perlu perhatian yang sama dengan traffic ke internet.

4) Backup: offline, immutable, diuji

Aku bilang seperti yang sering terlihat di lapangan:

Backup yang selalu writable dan selalu online sering kali bukan backup saat krisis.

3-2-1 adalah awal yang bagus.
Immutable storage (atau media offline) itu game changer.
Uji restore itu wajib. Bukan “kita punya backup”, tetapi “kita latihan restore”.

5) Runbook incident dan “kill switch” untuk lokasi

Kamu tidak butuh buku panduan 80 halaman. Tapi kamu butuh kejelasan:

Siapa yang memutuskan satu lokasi harus diputus?
Bagaimana cara lock account dengan cepat?
Sistem apa yang harus hidup duluan (AD, DNS, DHCP, VPN, ERP)?

Dan ya: ini harus dilatih, atau tidak berguna saat kejadian.

Reality check: di NotPetya, tindakan paling efektif sering bukan “tool tambahan”, tetapi memutus secara fisik. Ada cerita bahwa di Maersk, orang benar-benar lari keliling kantor dan mencabut kabel listrik/jaringan dari switch untuk menghentikan penyebaran. Kelihatan sederhana—tapi kadang itu “high-tech security” terbaik ketika detik menentukan.

Penutup

Buat aku, NotPetya masih menjadi salah satu contoh terbaik kenapa keamanan tidak selesai dengan “kita punya antivirus”.

Serangannya tidak menghancurkan karena “ajaib”. Melainkan karena ia menekan titik lemah yang sangat umum:

kepercayaan pada update
terlalu mudah lateral movement
segmentasi yang kurang
backup terlalu dekat dengan jaringan produksi

Dan itulah kenapa ini relevan untuk perusahaan “normal”.

Kalau kamu investasi hari ini, jangan cuma investasi di tool, tapi investasi di resilience: visibilitas, respons cepat, dan kemampuan memulihkan sistem dengan bersih. Itu bedanya “hari yang sangat buruk” versus “kuartal yang tidak akan kamu kejar lagi”.

Sumber dan bacaan lanjut

Sampai jumpa lagi, Joe