Malware penghapus data baru telah diamati dikerahkan terhadap jaringan pemerintah Ukraina yang tidak disebutkan namanya, sehari setelah serangan siber yang merusak menyerang beberapa entitas di negara itu sebelum dimulainya invasi militer Rusia.
Perusahaan keamanan siber Slovakia ESET menjuluki malware baru " IsaacWiper ," yang katanya terdeteksi pada 24 Februari di sebuah organisasi yang tidak terpengaruh oleh HermeticWiper (alias FoxBlade), malware lain yang menghapus data yang menargetkan beberapa organisasi pada 23 Februari sebagai bagian dari sabotase. operasi yang bertujuan membuat mesin tidak dapat digunakan.
Analisis lebih lanjut dari serangan HermeticWiper, yang menginfeksi setidaknya lima organisasi Ukraina, telah mengungkapkan konstituen worm yang menyebarkan malware di seluruh jaringan yang disusupi dan modul ransomware yang bertindak sebagai "pengalih perhatian dari serangan wiper," menguatkan laporan sebelumnya dari Symantec .
"Serangan destruktif ini memanfaatkan setidaknya tiga komponen: HermeticWiper untuk menghapus data, HermeticWizard untuk menyebarkan di jaringan lokal, dan HermeticRansom bertindak sebagai umpan ransomware," kata perusahaan itu.
Dalam analisis terpisah dari ransomware baru berbasis Golang, perusahaan keamanan siber Rusia Kaspersky, yang menamai malware "Elections GoRansom," mengkarakterisasinya sebagai operasi menit terakhir, menambahkan bahwa itu "kemungkinan digunakan sebagai tabir asap untuk serangan HermeticWiper karena gayanya yang tidak canggih dan implementasinya yang buruk."
Sebagai tindakan anti-forensik, HermeticWiper juga dirancang untuk menghalangi analisis dengan menghapus dirinya sendiri dari disk dengan menimpa filenya sendiri dengan byte acak.
ESET mengatakan belum dapat menemukan "koneksi nyata" untuk menghubungkan serangan ini dengan aktor ancaman yang dikenal. Tetapi artefak malware yang digali sejauh ini memperjelas bahwa penyusupan telah direncanakan selama beberapa bulan, dengan entitas yang ditargetkan menderita kompromi jauh sebelum penyebaran wiper.
"Ini didasarkan pada beberapa fakta: stempel waktu kompilasi HermeticWiper PE, yang tertua adalah 28 Desember 2021; tanggal penerbitan sertifikat penandatanganan kode pada 13 April 2021; dan penerapan HermeticWiper melalui kebijakan domain default dalam setidaknya satu contoh. , menunjukkan bahwa penyerang memiliki akses sebelumnya ke salah satu server Active Directory korban itu," kata Jean-Ian Boutin, kepala penelitian ancaman ESET.
Juga tidak diketahui adalah vektor akses awal yang digunakan untuk menyebarkan kedua wiper, meskipun diduga penyerang memanfaatkan alat seperti Impacket dan RemCom, perangkat lunak akses jarak jauh, untuk pergerakan lateral dan distribusi malware.
Lebih lanjut, IsaacWiper tidak berbagi tumpang tindih tingkat kode dengan HermeticWiper dan secara substansial kurang canggih, bahkan ketika ia menetapkan untuk menghitung semua drive fisik dan logis sebelum melanjutkan untuk melakukan operasi penghapusan file.
"Pada 25 Februari 2022, penyerang menjatuhkan versi baru IsaacWiper dengan log debug," kata para peneliti. "Ini mungkin menunjukkan bahwa penyerang tidak dapat menghapus beberapa mesin yang ditargetkan dan menambahkan pesan log untuk memahami apa yang terjadi."
Pembaruan: Microsoft, yang melacak HermeticWiper dengan nama FoxBlade (dan HermeticRansom sebagai SonicVote), mengatakan "tujuan yang dimaksudkan dari serangan ini adalah gangguan, degradasi, dan penghancuran sumber daya yang ditargetkan" di Ukraina.
Infeksi tersebut berdampak pada "ratusan sistem yang mencakup beberapa pemerintahan, teknologi informasi, sektor keuangan, dan organisasi energi yang sebagian besar berlokasi di atau dengan hubungan ke Ukraina," katanya .
Pusat Intelijen Ancaman (MSTIC) raksasa teknologi telah mengaitkan serangan itu dengan kluster ancaman yang muncul yang ditunjuk sebagai DEV-0665, menunjukkan kurangnya afiliasinya dengan kelompok aktivitas ancaman yang diketahui sebelumnya. Perlu dicatat di sini bahwa aktor yang bertanggung jawab atas serangan wiper WhisperGate pada bulan Januari dikenal sebagai DEV-0586.
Menugaskan intrusi terkait IsaacWiper dengan moniker Lasainraw, Microsoft juga mencirikannya sebagai "serangan malware destruktif terbatas," menambahkannya "terus menyelidiki insiden ini dan saat ini belum menghubungkannya dengan aktivitas ancaman yang diketahui."
source: thehackernews
Artikel yang penuh ilmu ini. Terima kasih min artikelnya keren. Jadi makin melek dengan ancaman-ancaman yang kemungkinan terjadi. Salam hangat.
BalasHapusTerima kasih informasinya. Saya jadi lebih aware pada ancaman yang tak terlihat.
BalasHapusKeren, pasti yg ngehack keren jg cuma sayang kalau ilmunya untuk kejahatan
BalasHapuspada mata kuliah aset informasi saya juga membahas mengenai serangan2 pada dunia teknologi atau digital, artikel ini sedikit memberi tahu saya contoh2 tersebut, terima kasih.
BalasHapusKomentar ini telah dihapus oleh pengarang.
Hapussama-sama kak! terimakasih telah berkunjung.
HapusWaah harus tetap berhati hati dengan ancaman digital, terimakasih tulisannya mas
BalasHapus