Wiper Destruktif Menargetkan Ukraina Ditujukan untuk Mengikis Kepercayaan, Kata Para Ahli

Russia diposisikan untuk serangan perang panas di Ukraina yang diperingatkan oleh pemerintahan Biden bisa datang “kapan saja” – tetapi negara itu sudah menderita serangan dari jenis yang berbeda. Kampanye malware menyapu tetap berlangsung, yang para ahli setuju dimaksudkan untuk secara permanen mengganggu organisasi di seluruh negeri dan melukis Ukraina sebagai negara gagal.

Serangan siber mewakili operasi malware destruktif terkoordinasi yang telah berdampak pada puluhan sistem di seluruh negeri, menurut peringatan dari Microsoft Threat Intelligence Center (MCTIC) minggu ini.

Serangan siber terhadap organisasi di seluruh Ukraina dimulai pada 13 Januari, menurut MCTIC, dan berdasarkan penilaian tim, malware tersebut adalah penghapus Master Boot Record (MBR). Destructor, yang diberi nama WhisperGate oleh Microsoft, telah digunakan terhadap sistem pemerintah, organisasi nirlaba, dan perusahaan IT di Ukraina, laporan tersebut memperingatkan.

Para pelaku berusaha keras untuk membuat serangan itu terlihat seperti serangan ransomware, bahkan memberikan uang tebusan catatan. Namun, kenyataannya adalah bahwa “catatan ransomware adalah tipu muslihat dan … malware merusak MBR dan konten file yang ditargetkannya,” menurut MCTIC. Ia menambahkan, “MSTIC menilai bahwa malware… dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.”

Tim berharap untuk menemukan korban tambahan dari serangan sebagai bagian dari penyelidikan berkelanjutan.

“Kami tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya,” tambah peringatan MSTIC. “Namun, kecil kemungkinan sistem yang terkena dampak ini mewakili cakupan dampak penuh seperti yang dilaporkan organisasi lain.”

Attacks Mirip dengan NotPetya, WannaCry

Menimpa MBR — biasanya opsi “nuklir” (seperti yang terlihat dalam serangan Saudi Aramco Shamoon 2012) — tidak biasa untuk ransomware cybercriminal. Dengan demikian, para ahli menduga bahwa aktor yang didukung pemerintah kemungkinan besar berada di balik peretasan, yang serupa dengan serangan NotPetya sebelumnya di Ukraina.

Raj Samani, rekan dan kepala ilmuwan Trellix, mengatakan ada juga kesamaan tambahan antara putaran serangan terbaru ini dan Kampanye WannaCry, yang ia gambarkan memiliki “sifat pseudo-ransomware” serupa.

“Kami telah mengidentifikasi indikator ancaman yang menargetkan berbagai industri, termasuk pemerintah, layanan keuangan, transportasi, dan utilitas,” jelas Samani. “Kita harus mengakui bahwa tindakan tersebut, sehubungan dengan ketidakmampuan untuk membayar, menyimpulkan kampanye yang merusak, atau memang dimaksudkan untuk menyebarkan ketakutan dan histeria.”

Saumitra Das, CTO dan pendiri Blue Hexagon, setuju bahwa jenis malware destruktif ini tidak menawarkan pembayaran tunai untuk penjahat dunia maya sehari-hari, yang mendukung teori aktor yang didukung negara.

“Taktik yang digunakan dalam serangan ini tampaknya berfokus pada gangguan daripada menghasilkan uang,” jelas Das kepada Threatpost. “Menghapus MBR, menyebabkan sistem turun, tidak bermanfaat bagi geng kriminal untuk menghasilkan uang dengan cepat — tetapi ini sangat efektif untuk negara-negara bangsa sebagai provokasi atau alat yang digunakan untuk tujuan yang lebih besar. Biasanya, malware yang memeras berdasarkan gangguan biasanya tidak membuat sistem tidak dapat beroperasi tetapi hanya mencekiknya.”

Silas Cutler, analis ancaman di Stairwell, mengatakan kepada Threatpost bahwa jumlah ransomware palsu yang diminta dalam serangan sangat rendah menurut standar industri, lebih lanjut menunjukkan bahwa serangan tidak pernah tentang uang.

“Permintaan tebusan yang dibagikan dalam format aslinya oleh Microsoft berbeda dari tren ransomware saat ini karena jumlahnya sepersepuluh dari yang diminta oleh kelompok canggih; dan, mereka menawarkan cara terbatas untuk berkomunikasi dengan penyerang,” kata Cutler. “Saat ini tidak jelas mengapa permintaan tebusan sangat rendah. Mungkin saja aktor tersebut memilih jumlah yang sangat rendah dengan harapan bahwa beberapa organisasi mungkin mencoba membayar dengan panik untuk memulihkan diri sebelum pelaporan dan panduan tentang malware dipublikasikan.”

Perang Hibrida Rusia Melawan Ukraina?

A negara-bangsa mana yang mungkin berada di belakang upaya, Microsoft tidak atribut WhisperGate ke negara tertentu. Lainnya tidak begitu berhati-hati.

“Meskipun saat ini tidak dikaitkan dengan kelompok aktor atau negara asal yang diketahui, Rusia umumnya dianggap sebagai tersangka utama,” kata Cutler. “Penggunaan malware destruktif yang dilaporkan, menggunakan ransomware sebagai kedok, adalah taktik yang sebelumnya diamati dalam serangan Rusia terhadap organisasi Ukraina seperti pemadaman Ukraina dan serangan NotPetya pada 2015 hingga 2017.”

Scheherazade Rehman, Profesor Urusan Internasional di Universitas George Washington, menjelaskan kepada Threatpost bahwa pertunjukan perang siber ini cocok dengan “perang hibrida” yang lebih besar yang dilancarkan oleh pemerintah Rusia melawan Ukraina.

“Rusia ingin seluruh dunia melihat bahwa mereka merencanakan aktivitas militer yang signifikan di Ukraina dan taktik mereka melibatkan serangan di semua lini: 100.000 tentara dan peralatan militer membangun di perbatasan, menanam pemberontak untuk melancarkan operasi ‘bendera palsu’, dan serangan dunia maya terhadap sistem komputer pemerintah Kyiv,” kata Dr. Rehman kepada Threatpost.

Dia menambahkan langkah menuju “pembongkaran infrastruktur Ukraina” adalah bagian dari narasi Rusia bahwa Ukraina adalah negara gagal yang tidak sah .

“Meskipun tidak pasti, serangan siber hampir pasti dari Rusia,” kata Rehman. “Itu adalah serangan dua arah dan terbesar dalam empat tahun.”

Serangan pertama, katanya, adalah pelanggaran minggu lalu terhadap lebih dari 70 situs pemerintah Ukraina yang memposting pesan perusakan dalam bahasa Ukraina, Rusia, dan Polandia:

“Ukraina! … Semua informasi tentang Anda telah menjadi publik. Takut dan berharap lebih buruk. Ini adalah masa lalu, sekarang, dan masa depan Anda.”

Catatan itu termasuk pesan lain yang menunjukkan bahwa Ukraina adalah negara yang tidak sah, katanya.

Serangan ransomware palsu ini muncul di cabang kedua serangan, tambah Rehman.

“Serangan siber ini adalah bagian yang lebih besar eskalasi dan niat Rusia,” katanya. “Lembaga pemerintah yang tidak dapat beroperasi akan lebih membantu dalam tujuan Rusia untuk menunjukkan Ukraina sebagai negara berdaulat yang sah dan merusak kemampuan Ukraina untuk melawan di semua lini. Serangan siber ini tidak hanya dimaksudkan untuk mengintimidasi warga Ukraina, tetapi juga mengacaukan dan merusak kepercayaan mereka di sektor publik, dan mengikis kepercayaan pada pemerintah mereka sendiri.”

 
Tulis komentar
Bagikan artikel ini:

  • Governmentliu
      iMalware