NotPetya: serangan siber paling mahal sepanjang zaman

25 Februari 2026 • 10 min read

Pada penghujung Jun 2017, sesuatu bermula di Ukraine yang pada pandangan pertama nampak seperti “ransomware biasa”: mesin reboot, fail tiba-tiba tidak boleh diakses, dan tuntutan tebusan muncul di skrin.

Beberapa jam kemudian, jelas: ini bukan insiden setempat. Ini kebakaran besar.

Nama yang terus disebut sampai hari ini ialah NotPetya. Ia menjadi contoh bagaimana “gelombang malware yang kelihatan ringkas” boleh bertukar menjadi peristiwa yang melumpuhkan syarikat di seluruh dunia dan menyebabkan kerugian berbilion.

Dalam artikel ini saya mahu gabungkan dua perkara:

Kisah di sebalik NotPetya: apa yang berlaku ketika itu dan kenapa ia jadi sangat mahal?
Perspektif praktikal: apa maknanya untuk syarikat “biasa” hari ini, bukan hanya gergasi Fortune 500?

Bahagian yang tidak selesa tentang NotPetya bukan kerana ia “terlalu kompleks”. Bahagian yang tidak selesa ialah: ia sangat realistik.

Kenapa saya tulis ini pada 2026? Sebab hari ini kita bercakap tentang serangan phishing deepfake yang digerakkan AI, tetapi bila krisis berlaku kita masih gagal pada perkara asas yang sama seperti 2017: segmentasi yang lemah dan backup yang “berkongsi talian hayat” dengan produksi.

NotPetya dalam 5 minit: apa yang berlaku?

Untuk memahami konteks, kita perlu susun semula kronologi.

Pada 27 Jun 2017, NotPetya mula muncul di Ukraine dan kemudian merebak dengan sangat pantas secara global. Faktor penting ialah update yang telah dikompromi daripada perisian perakaunan yang meluas digunakan di Ukraine (M.E.Doc). Malware ini tidak masuk melalui “satu klik bodoh”, tetapi melalui mekanisme yang digunakan setiap hari: update.

Dan ini sering dipandang ringan apabila melihat ke belakang: pada asasnya ia ialah serangan supply chain. M.E.Doc bukan sasaran rawak; ia lever yang sempurna kerana update memang dipercayai secara design.

Pengajaran untuk hari ini memang tidak selesa, tetapi penting: anda boleh urus IT dalaman dengan sangat baik—kalau perisian daripada vendor, akaun/akaunting, penyedia perkhidmatan, penyambung ERP atau tool pihak ketiga dikompromi, anda tetap terkesan. Risiko supply chain bukan “masalah cloud”; ia, secara sangat praktikal, masalah update.

Sebaik NotPetya berada dalam rangkaian, ia bukan lagi tentang satu endpoint, tetapi tentang Lateral Movement:

Melalui SMB dan kelemahan yang diketahui (termasuk EternalBlue / MS17-010, exploit yang bocor daripada toolset NSA), NotPetya boleh merebak ke sistem Windows lain tanpa interaksi pengguna.
Secara selari, ia menggunakan credential dumping (Mimikatz/LSASS) untuk mengambil kata laluan/hash daripada RAM dan bergerak menggunakan kredensial admin yang sebenar.
Untuk remote execution, ia menggunakan tool admin “biasa” (contoh: PsExec/WMI). Kombinasi ini bahaya kerana pada awalnya ia boleh kelihatan seperti “operasi normal” dalam log.

Inilah “resipi rahsia” tersebut: exploit untuk lompat pantas ke sistem baharu, kredensial daripada memori untuk privilege sebenar, kemudian skala menggunakan tool terbina dalam.

Poin penting: patching sahaja tidak mencukupi. Walaupun sebuah sistem telah dipatch daripada EternalBlue, ia masih boleh jatuh sebaik sahaja malware memperoleh kredensial/hash admin yang sah di tempat lain dalam rangkaian.

NotPetya juga bermain dengan masa: ia memasukkan delay dan tidak memaksa “letupan besar” (reboot/wipe) serta-merta, tetapi hanya selepas beberapa ketika. Ini menyusahkan pengesanan dan, sebagai bonus, merupakan pola klasik menentang sandboxing: malware tidak terus “meletup” walaupun di belakang ia sudah skala.

Hasilnya sama seperti yang selalu berlaku:

Pada awalnya beberapa sistem nampak “pelik”.
Kemudian tiba-tiba satu lokasi runtuh.
Dan jika anda tidak bertindak sangat pantas (putuskan rangkaian, lock account, tutup sempadan segmentasi), insiden boleh melompat antara site.

Kenapa “ransomware” hanya penyamaran

NotPetya dianggap ransomware kerana ia memaparkan tuntutan tebusan. Tetapi dari sudut teknikal dan operasi, ia sebenarnya sesuatu yang lain.

Kuncinya: NotPetya pada realitinya ialah wiper. Malware yang tujuannya bukan “buat duit”, tetapi memusnahkan sistem dan menghentikan operasi.

Ini mungkin kedengaran seperti semantik, tetapi dalam incident ia besar bezanya:

Ransomware klasik (kadang-kadang) masih ada peluang pemulihan melalui key atau rundingan.
Wiper mensasarkan “rosak”. Bayar Bitcoin tidak menyelamatkan anda.

NotPetya ada butiran teknikal yang menegaskan sifat wiper: ia menimpa MBR (Master Boot Record) dan mengenkripsi MFT (Master File Table). Malah mekanik “ransomware”-nya sendiri cacat: installation ID yang dipaparkan dijana secara rawak dan tidak dikaitkan dengan betul kepada key dekripsi yang boleh digunakan. Ringkasnya: secara teknikal, hampir tiada jalan untuk kembali.

Itulah sebab NotPetya begitu licik: ia menolak ramai organisasi ke playbook yang salah pada awalnya. Anda fikir “playbook ransomware”, sedangkan yang diperlukan ialah “playbook disaster recovery”.

Bahawa serangan ini lebih kepada pemusnahan daripada keuntungan juga selari dengan atribusi kemudian: beberapa kerajaan mengaitkan NotPetya dengan aktor negara Rusia.

10 bilion dolar: kenapa ia jadi sangat mahal?

Jika anda hanya lihat label “ransomware”, kerosakan ini nampak sukar difahami. “Restore backup saja, kan?”

Dalam realiti, NotPetya sangat mahal kerana ia menghentam perkara yang sering kurang diberi bajet: availability.

Kos terbesar bukan malware itu sendiri, tetapi downtime.

Barisan produksi berhenti.
Logistik kembali ke kertas.
Identiti dan domain perlu dibina semula.
Aplikasi, integrasi dan dependensi jatuh berantai.
Dan ia berlaku bukan pada satu sistem, tetapi banyak serentak.

Sebab itu NotPetya sering digelar “serangan siber paling mahal sepanjang zaman”. Anggaran kerugian keseluruhan sering disebut sekitar 10 bilion dolar AS.

Ia juga jelas dalam angka syarikat: Merck, FedEx (termasuk TNT Express) dan Mondelez menyatakan dalam laporan bahawa ini bukan sekadar “isu IT”, tetapi isu bisnes dengan kesan nyata kepada hasil, kos dan keupayaan penghantaran.

NotPetya juga mencetuskan kesan undang-undang besar: syarikat bertelagah dengan insurans. Ada insurer yang cuba tidak membayar dengan melabel NotPetya sebagai “Act of War” (serangan yang digerakkan negara). Kes Mondelez lawan insurer sering disebut. Pengajaran yang kekal relevan: adakah cyber insurance anda meliputi serangan negara—atau war exclusion akan terpakai ketika paling memerlukan?

Update untuk pembaca pro: kes Mondelez diselesaikan pada 2023. Selepas itu (dan secara umum selepas NotPetya), banyak polisi mengetatkan wording: dalam banyak kontrak, serangan “state-motivated” didefinisikan lebih sempit atau dikecualikan secara jelas. Ini menjadikan cyber insurance satu risiko kewangan nyata jika anda tidak benar-benar memahami klausa.

Dan satu perkara lagi: walaupun anda “hanya” memulihkan sistem IT, realitinya anda bergelut dengan dependensi.

Contoh yang sering muncul ialah Maersk: ini bukan tentang beberapa fail yang dienkripsi, tetapi membina semula sistem teras, identiti dan IT operasi supaya pelabuhan dan logistik boleh berjalan semula.

Kisahnya terkenal kerana menunjukkan betapa rapuhnya identiti dan backup: Maersk hampir kehilangan keseluruhan Active Directory—kecuali satu Domain Controller di Ghana yang kebetulan offline akibat gangguan elektrik ketika serangan berlaku. “Lucky Punch” ini menjadi seperti backup offline tidak sengaja: dengan satu server fizikal itu, mereka boleh membina semula AD global dan mempercepat pemulihan.

Akhirnya, ia bukan hanya menjejaskan “IT”, tetapi bisnes secara langsung:

Dalam makanan: produksi, perancangan dan supply chain terhenti.
Dalam perkapalan: kontena tidak bergerak.
Dalam farmaseutikal: pembuatan, proses kualiti dan keupayaan penghantaran berada di bawah tekanan.

Sebab itulah jumlah kerugian begitu tinggi: skrin tebusan hanyalah simptom. Kerosakan sebenar ialah downtime.

Senario praktikal: serangan yang saya jangka pada syarikat “biasa”

Saya mahu gambarkan satu senario yang tidak terasa seperti Hollywood. Bukan “state actor vs big tech”, tetapi sesuatu yang realistik untuk syarikat sederhana.

Bayangkan syarikat sederhana:

Satu HQ dan satu site kecil.
Setup Windows biasa: AD, file server, beberapa VM, ERP.
Ditambah beberapa sistem yang jarang disentuh: controller mesin, perisian lama, “Windows Server 2008 entah versi apa” kerana vendor tidak pernah naik taraf.
Backup ada: harian ke NAS, mingguan juga ke sistem kedua.

Dan ini poin yang sering dipandang ringan:

Syarikat ini bukan “kurang security” sebab semua orang tidak kompeten. Tetapi kerana operasi dan masa sentiasa menang.

Patching ditangguh kerana jadual produksi ketat. Segmentasi “nanti” sebab VLAN memang kerja. Kata laluan admin lokal terbina secara historik. Dan NAS tentu online, sebab restore kalau tidak online menyusahkan.

Garis masa (realistik, bukan dramatik)

Pada pagi Selasa, satu update masuk. Boleh jadi vendor, tool penyedia perkhidmatan, connector—apa-apa yang auto-update. Atau sistem rakan kongsi yang dikompromi dan ada akses VPN.

08:10: client pertama mula tidak stabil. Reboot di sini, error pelik di sana.
08:25: file server pertama mula perlahan. Tiket helpdesk naik.
08:40: tiba-tiba “domain pelik”. Login lambat, group policy jadi huru-hara.
09:00: admin login “nak tengok sekejap”. Ini selalunya titik lateral movement memecut.
09:20: satu site hampir sepenuhnya offline.

Dan bahagian ini hanya benar-benar difahami selepas kejadian:

Jika anda tidak memutuskan rangkaian dengan tegas, kerosakan tidak skala secara linear — ia skala secara eksponen.

Dan tentu datang soalan yang selalu datang:

“Perlu bayar?”

Dalam NotPetya, jawapan pahitnya: walaupun anda mahu, ia mungkin bukan solusi. Dari sudut psikologi, anda perlu terus fikir “bina semula”, bukan “dekripsi”.

Lebih lama anda tunggu, lebih banyak sistem perlu dibina semula. Lebih banyak sistem perlu dibina semula, lebih lama anda beroperasi dalam mode kecemasan. Dan lebih lama mode kecemasan, lebih mahal kosnya.

Apa yang benar-benar menyakitkan

Selepas beberapa jam, jelas: ini bukan “restore beberapa fail”. Ini “bina semula Active Directory dan sistem teras”.

Dan anda akan sedar:

Backup anda online dan turut terkesan.
Dokumentasi tidak up to date.
Anda tidak cukup “golden image” untuk reimage pantas.
Kredensial admin ada di merata tempat.
Tiada siapa pernah berlatih segmentasi site dalam 30 minit.

Itu saat insiden IT berubah menjadi krisis syarikat.

Apa yang SOC buat berbeza hari ini (dan kaitannya dengan AI)

Dalam Security Operations Center (SOC) besar, berbilion event dari pelbagai sumber masuk setiap hari. Ini bukan lagi “admin tengok log firewall”, tetapi proses industrial: telemetry, korelasi, automasi dan analisis manusia.

Yang menarik ialah pembahagian peranan:

AI/automasi sebagai barisan pertama: menyusun, mengorelasikan, mengesan pola dan menapis yang jelas.
Manusia sebagai barisan kedua/ketiga: bila kes kritikal atau tidak jelas, analis ambil alih, buat keputusan dan selaraskan response.

Nampak macam “untuk enterprise saja”, tetapi mindset ini penting untuk syarikat kecil juga:

Anda tidak perlu bina SOC sendiri. Tetapi anda perlukan pendekatan yang sama:

Kumpul signal (EDR, firewall, auth log).
Takrifkan apa itu “normal”.
Ada proses yang bertindak dalam minit, bukan hari.

NotPetya pada 2017 sudah begitu pantas sehingga manusia tidak mungkin “bertindak cukup cepat” apabila penyebaran berjalan. Poin AI bukan semata-mata “lebih laju”, tetapi membantu mencari anomali lebih awal dalam noise (contohnya, jam 03:00 tiba-tiba 500 mesin mahu bercakap SMB antara satu sama lain). Minit-minit itu menentukan: nampak awal, hadkan awal, asingkan awal.

Dan kemudian ada mindset yang semakin menjadi default:

Assume breach.

Rancang seolah-olah penyerang sudah berada di dalam. Bukan kerana paranoia, tetapi pragmatik.

Minimum yang saya mahu lihat hari ini (tanpa bajet enterprise)

Jika anda mahu ambil satu perkara daripada NotPetya, ambil ini:

NotPetya bukan “satu kelemahan”. NotPetya ialah rangkaian kelemahan yang menguatkan antara satu sama lain.

Berita baik: sebab itu juga beberapa asas boleh mengurangkan risiko dengan besar.

1) Patching dan exposure management (betul-betul serius)

Update Windows kritikal (terutamanya sekitar SMB) tidak boleh “nanti”.
Apa pun yang boleh dicapai dari luar perlu keutamaan.
Jika perlu legacy: sekurang-kurangnya segmentasi dengan peraturan jelas.

2) Buat lateral movement jadi susah

Pisahkan akaun admin (harian vs admin).
Kata laluan admin lokal unik setiap peranti (LAPS).
Jangan biarkan tool admin remote (WMI, PsExec) terbuka di semua tempat.
Hadkan SMB di tempat yang tidak benar-benar perlu.

3) Segmentasi, tetapi pragmatik

Anda tidak perlu buat Zero Trust “sempurna” esok. Tetapi:

Client, server, backup, OT/produksi tidak patut berada dalam rangkaian rata.
Domain Controller ialah tier 0 dan perlu dilindungi sewajarnya.
Trafik east-west perlu perhatian sama seperti trafik internet.

4) Backup: offline, immutable, diuji

Saya sebut seperti yang sering saya lihat di lapangan:

Backup yang sentiasa online dan sentiasa boleh ditulis sering kali bukan backup semasa krisis.

3-2-1 ialah permulaan yang baik.
Storage immutable (atau media offline) ialah game changer.
Ujian restore wajib. Bukan “kita ada backup”, tetapi “kita latihan restore”.

5) Runbook insiden dan “kill switch” untuk site

Anda tidak perlukan manual 80 halaman. Tetapi anda perlukan kejelasan:

Siapa yang memutuskan site perlu diputuskan?
Bagaimana lock account dengan cepat?
Sistem mana yang perlu hidup dahulu (AD, DNS, DHCP, VPN, ERP)?

Dan ya: ini perlu dilatih, kalau tidak ia tidak membantu semasa krisis.

Reality-check: dalam NotPetya, tindakan paling berkesan sering bukan “tool tambahan”, tetapi pemutusan fizikal. Ada laporan bahawa di Maersk, staf benar-benar berlari di pejabat dan mencabut kabel (kuasa/rangkaian) daripada switch untuk hentikan penyebaran. Nampak asas, tetapi kadang-kadang itulah high-tech security terbaik bila setiap saat penting.

Kesimpulan

Bagi saya, NotPetya kekal sebagai salah satu contoh terbaik kenapa keselamatan tidak selesai dengan “kita ada antivirus”.

Ia bukan dahsyat kerana ia magik. Ia dahsyat kerana ia menyerang titik lemah yang sangat biasa:

kepercayaan kepada update
terlalu mudah lateral movement
kurang segmentasi
backup terlalu dekat dengan rangkaian produksi

Dan sebab itulah ia sangat relevan untuk syarikat “biasa”.

Jika anda melabur hari ini, jangan hanya melabur dalam tool. Melaburlah dalam resilience: visibility, response pantas dan keupayaan memulihkan sistem dengan bersih. Itulah perbezaan antara “hari yang sangat buruk” dan “satu suku yang anda tidak akan kejar semula”.

Sumber dan bacaan lanjut

Sehingga kali seterusnya, Joe