Wiper Baru Ditemukan ESET Rangsek Ukraina

Perang dunia maya masih terus berlangsung dalam pertikaian Ukraina dengan beruang merah Rusia. Meskipun mendapat bantuan dari anonymous, hal ini tidak menghentikan sepak terjang pasukan siber Rusia yang terus menggempur infrastruktur digital Ukraina. Seperti yang baru saja ditemukan oleh peneliti ESET, dimana penghapus data destruktif lain telah digunakan dalam serangan terhadap organisasi di Ukraina.

Malware pertama kali terdeteksi pada pukul 11.38 waktu setempat (9.38 pagi UTC) pada hari Senin, oleh analis ESET dijuluki sebagai CaddyWiper, wiper yang menghancurkan data pengguna dan informasi partisi dari drive yang terpasang. Ancaman ini terlihat di beberapa lusin sistem di sejumlah organisasi terbatas dan  terdeteksi oleh produk ESET sebagai Win32/KillDisk.NCX.

CaddyWiper tidak memiliki kesamaan kode utama dengan HermeticWiper atau IsaacWiper, dua wiper data baru lainnya yang telah menyerang organisasi di Ukraina sejak 23 Februari. Sama seperti HermeticWiper, ada bukti yang menunjukkan bahwa aktor jahat di belakang CaddyWiper menyusup ke jaringan target sebelum melepaskan wiper.

Taktik CaddyWiper

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh pelaku untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka serang, sementara mereka masih terus mengganggu dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

3 wiper seminggu

Ini adalah ketiga kalinya dalam beberapa minggu peneliti ESET melihat jenis malware penghapus data yang sebelumnya tidak diketahui di Ukraina.

Menjelang invasi Rusia ke Ukraina, telemetri ESET menangkap HermeticWiper di jaringan sejumlah organisasi terkemuka Ukraina. Kampanye ini juga memanfaatkan HermeticWizard, worm khusus yang digunakan untuk menyebarkan HermeticWiper di dalam jaringan lokal, dan HermeticRansom, yang bertindak sebagai ransomware umpan.

Keesokan harinya, serangan destruktif kedua terhadap jaringan pemerintah Ukraina dimulai, kali ini menggunakan IsaacWiper.

Sasaran bidik

Pada bulan Januari tahun ini, penghapus data lain yang disebut WhisperGate, menyapu jaringan beberapa organisasi di Ukraina.

Semua operasi ini merupakan ancaman terbaru dari serangkaian serangan panjang yang mencapai target profil tinggi di negara itu selama delapan tahun terakhir. Seperti yang dieksplorasi oleh peneliti ESET dalam webinar dan podcast baru-baru ini.

Ukraina telah menerima sejumlah serangan siber yang sangat mengganggu sejak 2014, termasuk serangan NotPetya yang merobek jaringan sejumlah bisnis Ukraina pada Juni 2017 sebelum menyebar ke luar perbatasan negara.