Wiper Destruktif Lainnya Menargetkan Organisasi di Ukraina

Posted on by Syauqi Wiryahasana

Researchers telah menemukan malware penghapus data destruktif lainnya yang menargetkan organisasi di Ukraina, yang ketiga ditemukan dalam beberapa minggu menyerang sistem di negara yang saat ini mempertahankan diri dari invasi fisik Rusia. Tim

A dari perusahaan keamanan siber ESET pada hari Senin menemukan malware tersebut , yang mereka juluki CaddyWiper, kata para peneliti dalam posting blog yang diterbitkan Selasa.

“Penghapus, yang menghancurkan data pengguna dan informasi partisi dari drive yang terpasang, terlihat di beberapa lusin sistem di sejumlah organisasi,” tulis para peneliti dalam posting tersebut. . “Ini dideteksi oleh produk ESET sebagai Win32/KillDisk.NCX.”



CaddyWiper mengikuti jejak HermeticWiper dan IsaacWiper yang menargetkan Ukraina — meskipun tidak memiliki kemiripan dengan mereka, kata para peneliti.

Namun, mirip dengan HermeticWiper—yang ditemukan pada 23 Februari , sehari sebelum invasi Rusia — “ada bukti yang menunjukkan bahwa aktor jahat di belakang CaddyWiper menyusup ke jaringan target sebelum melepaskan wiper,” kata para peneliti.

Serangan Wiper Tingkat Lanjut

Serangan HermeticWiper terjadi hanya beberapa jam setelah serangkaian penolakan layanan terdistribusi Serangan gencar (DDoS) membuat beberapa situs web penting di negara itu offline, menurut ESET. Penyerang juga menyebarkan trojan baru yang disebut FoxBlade terhadap infrastruktur digital utama Ukraina, beberapa jam sebelum invasi fisik oleh Rusia, peneliti Microsoft melaporkan.

Sementara detail spesifik tentang cara kerja CaddyWiper belum diungkapkan, peneliti ESET menyelam lebih dalam ke HermeticWiper di posting blog sebelumnya pada 1 Maret. Bukti juga telah muncul bahwa salah satu sampel malware HermeticWiper dikompilasi kembali pada 28 Desember, menandakan bahwa serangan wiper dilakukan dua bulan sebelum serangan militer Rusia.

HermeticWiper adalah Windows yang dapat dieksekusi dengan empat driver yang sah dari perangkat lunak EaseUS Partition Master yang ditandatangani oleh CHENGDU YIWO Tech Development Co. Driver tertanam dalam sumber daya malware dan menerapkan operasi disk tingkat rendah, menurut ESET.

Tergantung pada versi OS, HeremeticWiper memilih salah satu dari empat driver tersebut dan kemudian meletakkannya di C:WindowsSystem32drivers.sys, di mana ia memuat dengan membuat se rvice.

“HermeticWiper kemudian melanjutkan dengan menonaktifkan Volume Shadow Copy Service (VSS) dan menghapus dirinya sendiri dari disk dengan menimpa filenya sendiri dengan byte acak,” menurut peneliti ESET.

Serangan HermeticWiper juga menggunakan worm khusus yang disebut HermeticWizard untuk menyebarkan wiper di dalam jaringan lokal, serta HermeticRansom, ransomware umpan yang digunakan dalam serangan itu, menurut ESET. Sebuah decryptor gratis kemudian dirilis untuk membuka HermeticRansom, yang juga menargetkan organisasi di Lituania dan Latvia.

Setelah serangan HermeticWiper, pada hari perang kinetik dimulai di Ukraina, penyerang cyber mengerahkan IsaacWiper yang "kurang canggih" di organisasi yang tidak terhubung dengan serangan HermeticWiper , menurut ESET.

Consistent Barrage of Attacks

Bahkan sebelum tiga serangan wiper terjadi berturut-turut, para pelaku cyber yang berbasis di Rusia telah menyerang Ukraina dengan serangan wiper, sering kali menyamar sebagai ransomware, menurut pengamatan para peneliti. Perang siber yang terjadi bersamaan dengan konflik di lapangan dilihat oleh banyak orang sebagai upaya Rusia untuk melemahkan posisi Ukraina sebagai negara berdaulat dari berbagai sudut yang mungkin.

Sebelum invasi Rusia, Ukraina menjadi target Master Boot Record ( MBR) serangan wiper yang dimulai 13 Januari, yang ditemukan dan dijuluki WhisperGate oleh peneliti Microsoft. Wiper sebelumnya telah digunakan terhadap sistem pemerintah, organisasi nirlaba, dan perusahaan IT di Ukraina.

Dalam serangan itu, pelaku memberikan catatan tebusan sebagai salah satu dari beberapa upaya untuk membuatnya terlihat seperti serangan ransomware. Namun, serangan itu benar-benar berfungsi untuk menghancurkan MBR dan konten file yang ditargetkannya, kata peneliti dari Microsoft Threat Intelligence Center saat itu.

Memang, Ukraina telah menerima sejumlah serangan siber yang sangat mengganggu sejak 2014, menurut ke ESET; itu juga tahun kudeta menggulingkan Presiden pro-Rusia Viktor Yanukovych. Di antara serangan siber tersebut adalah serangan NotPetya yang sekarang terkenal, yang berasal dari Ukraina pada tahun 2017 sebelum menyebar secara global menjadi salah satu serangan siber terburuk dalam sejarah.

Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
  • Governmentliu
      iMalware

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically