Serangan Ransomware Terbaru di Ukraina Dikaitkan Dengan Peretas Rusia
illustrasi
Cyberthreat.id – Perusahaan perangkat lunak ESET mengungkapkan bahwa serangan ransomware terbaru yang menargetkan organisasi di Ukraina berkaitan dengan kelompok ancaman militer Rusia yang terkenal, Sandworm.
Dikutip dari Bleeping Computer, ESET yang pertama kali melihat gelombang serangan ini, mengatakan ransomware yang bernama RansomBoggs telah ditemukan di jaringan beberapa organisasi Ukraina.
“Meskipun malware yang ditulis di .NET masih baru, penyebarannya mirip dengan serangan sebelumnya yang dikaitkan dengan Sandworm,” kata peneliti ESET.
ESET mengatakan, pihaknya melihat ada kesamaan dengan serangan sebelumnya yang dilakukan oleh Sandworm. Di mana, skrip PowerShell yang digunakan untuk mendistribusikan ransomware .NET dari pengontrol domain hampir identik dengan yang terlihat April lalu selama serangan Industroyer2 terhadap sektor energi
“Skrip ini digunakan untuk menyebarkan muatan RansomBoggs di jaringan korban dikenal sebagai POWERGAP dan pengiriman malware perusak CaddyWiper dalam serangan terhadap organisasi Ukraina pada bulan Maret,” kata peneliti.
Setelah didorong melintasi jaringan korban, RansomBoggs mengenkripsi file menggunakan AES-256 dalam mode CBC menggunakan kunci acak (dihasilkan secara acak, dienkripsi RSA, dan ditulis ke aes.bin), dan menambahkan ekstensi .chsch ke semua ekstensi file terenkripsi. Namun, hal ini bergantung pada varian yang digunakan dalam serangan, kunci publik RSA dapat di-hardcode di malware itu sendiri atau disediakan sebagai argumen.
Pada sistem terenkripsi, ransomware juga menjatuhkan catatan tebusan yang meniru James P. Sullivan, karakter utama film Monsters Inc, dengan referensi lebih lanjut juga ditemukan dalam kode malware.
Sebagai informasi, awal bulan ini, Microsoft juga menghubungkan kelompok spionase dunia maya Sandworm (dilacak oleh Redmond sebagai IRIDIUM) dengan serangan ransomware Prestige yang menargetkan perusahaan transportasi dan logistik di Ukraina dan Polandia sejak Oktober.
"Kampanye Prestige dapat menyoroti perubahan terukur dalam perhitungan serangan destruktif IRIDIUM, menandakan peningkatan risiko bagi organisasi yang secara langsung memasok atau mengangkut bantuan kemanusiaan atau militer ke Ukraina," kata MSTIC.
Pada bulan Februari, penasihat keamanan bersama yang dikeluarkan oleh badan keamanan siber AS dan Inggris juga menyematkan botnet Cyclops Blink pada kelompok ancaman militer Rusia sebelum diganggu, mencegah penggunaannya di alam liar.
Sandworm adalah sekelompok peretas elit Rusia yang aktif selama setidaknya dua dekade yang diyakini sebagai bagian dari Unit 74455 Pusat Utama Teknologi Khusus (GTsST) GRU Rusia. Mereka sebelumnya telah dikaitkan dengan serangan yang mengarah ke serangan wiper KillDisk yang menargetkan bank-bank di Ukraina dan pemadaman listrik Ukraina tahun 2015 dan 2016. Sandworm juga diyakini telah mengembangkan ransomware NotPetya yang menyebabkan kerusakan miliaran mulai Juni 2017.
