Geng Peretas Iran Ini Disebut-sebut Tebar Ransomware di Israel
Ilustrasi | Foto: freepik.com
Cyberthreat.id – MuddyWater, geng peretas yang diduga mendapat dukungan dari Iran, terdeteksi menargetkan sejumlah perusahaan terkemuka Israel.
Temuan itu dari pantauan peneliti keamanan siber dari perusahaan cybersecurity Israel, Profero dan ClearSky asal Amerika Serikat, seperti dilaporkan ZDNet, diakses Jumat (16 Oktober 2020). Tak disebutkan perusahaan mana saja yang menjadi target serangan.
Menurut peneliti, serangan terdeteksi belum lama ini dan peretas berupaya menyebarkan ransomware Thanos. Peneliti meyakini peretas berkaitan dengan Iran berdasarkan pola dan taktik serangan sama dengan yang sebelumnya telah terdokumentasi.
Ada dua pola yang dipakai. Pertama, geng Iran itu memulai serangan via email phishing, sebuah taktik konvensional, tapi paling banyak digunakan peretas. Email jahat ini membawa lampiran dokumen Excel atau PDF, ketika dibuka, akan mengunduh dan menginstal program jahat dari server peretas.
Skenario lain, MuddyWater memindai internet untuk mencari server email Microsoft Exchange yang belum diperbaiki (patched), mengeksploitasi kerentanan CVE-2020-0688, menginstal web shell di server, lalu unduh dan instal malware yang sama seperti terdokumentasi sebelumnya.
PowGoop
Menurut ClearSky, malware yang disebarkan peretas pada tahap kedua (usai unduhan) bukanlah kode berbahaya yang asing, tapi strain (galur) yang telah dilihat dan hanya sekali terdokumentasikan sebelumnya.
Strain itu bernama ”PowGoop”, ancaman berbasis PowerShell yang hanya terlihat sekali pada awal September lalu dan digunakan untuk menginstal ransomware Thanos, menurut temuan peruashaan keamanan siber AS, Palo Alto Networks.
Serangan Thanos (atau Hakbit) juga menggunakan jenis malware lain untuk menyebarkan ransomware, yaitu “GuLoader” yang ditulis dalam Visual Basic 6.0.
ClearSky mengatakan, MuddyWater diduga kuat dalam serangan akhir-akhir ini akan mencoba menginstal ransomware Thanos sebagai sarana untuk menyembunyikan serangannya dan menghancurkan bukti intrusi dengan mengenkripsi file pada jaringan yang diretas.
Taktik menyebarkan ransomware untuk menyembunyikan intrusi telah digunakan sebelumnya oleh geng peretas yang diduga mendapat sponsor negara, tulis ZDNet.
Namun, serangan Thanos tersebut perlu bukti lebih lanjut lagi. Sebab, selama ini Thanos sering ditawarkan sebagai layanan sewa ransomware (RaaS) di forum peretas berbahasa Rusia dan diyakini digunakan oleh berbagai kelompok ancaman.
Namun, peneliti ClearSky, Ohad Zaidenberg, bersikukuh bahwa MuddyWater “turut terlibat dalam penyebaran ransomware” terkait dengan ketegangan politik yang memuncak baru-baru ini dan serangan siber bolak-balik antara Iran dan Israel.[]
