"Pada 27 Januari 2023, 5 sampel program jahat (skrip) terdeteksi, yang fungsinya ditujukan untuk melanggar integritas dan ketersediaan informasi (menulis file/disk dengan nol byte/data sewenang-wenang dan penghapusan selanjutnya), " kata CERT-UA sesuai yang dikutip dari Bleeping Computer.
CERT-UA mengatakan ada sejumlah malware perusak yang digunakan dalam serangan terhadap Ukrinform termasuk CaddyWiper (Windows), ZeroWipe (Windows), SDelete (Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD). Dua dari lima strain, ZeroWipe dan BidSwipe, adalah malware baru atau dilacak oleh Ukraina dengan nama yang berbeda dari yang digunakan oleh vendor anti-malware.
“Penyerang meluncurkan malware CaddyWiper menggunakan kebijakan grup Windows (GPO), menunjukkan bahwa mereka telah menembus jaringan target sebelumnya,” kata lembaga itu.
Seperti yang ditemukan CERT-UA selama penyelidikan, pelaku ancaman memperoleh akses jarak jauh ke jaringan Ukrinform sekitar 7 Desember dan menunggu lebih dari sebulan untuk melepaskan koktail malware.
Namun, upaya mereka untuk menghapus semua data di sistem kantor berita gagal. Wiper hanya berhasil menghancurkan file di "beberapa sistem penyimpanan data", yang tidak memengaruhi operasi Ukrinform.
“CERT-UA menekankan bahwa serangan dunia maya itu hanya sebagian keberhasilan, khususnya yang berkaitan dengan sejumlah terbatas sistem penyimpanan data,” tambah Layanan Negara Komunikasi Khusus dan Perlindungan Informasi (SSSCIP) Ukraina.
CERT-UA mengaitkan serangan itu dengan kelompok ancaman Sandworm minggu lalu, sebuah kelompok peretasan yang merupakan bagian dari Unit Militer Rusia 74455 dari Direktorat Intelijen Utama (GRU).
Sandworm juga telah menggunakan penghapus data CaddyWiper dalam serangan gagal lainnya dari bulan April yang menargetkan penyedia energi besar Ukraina. Dalam serangan itu, peretas Rusia menggunakan taktik serupa, menyebarkan CaddyWiper untuk menghapus jejak malware Industroyer ICS, bersama dengan tiga wiper lain yang dirancang untuk sistem Linux dan Solaris, dan dilacak sebagai Orcshred, Soloshred, dan Awfulshred.
Sejak Rusia menginvasi Ukraina pada Februari 2022, beberapa jenis malware penghapus data telah digunakan di jaringan target Ukraina selain CaddyWiper. Daftar ini juga mencakup orang-orang seperti DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, dan AcidRain.
Perusahaan perangkat lunak Microsoft dan Slovakia ESET juga menghubungkan serangan ransomware baru-baru ini yang menargetkan Ukraina ke grup peretasan Sandworm.
Comments
Post a Comment