Malware Penghapus yang Belum Pernah Dilihat Menyasar Target Israel


Peneliti mengatakannya telah menemukan malware baru penghapus disk yang menyamar sebagai ransomware saat meluncurkan serangan destruktif terhadap target Israel.

Apostle, seperti yang disebut para peneliti di firma keamanan SentinelOne sebagai malware, pada awalnya digunakan dalam upaya untuk menghapus data tetapi gagal melakukannya, kemungkinan karena kesalahan logika dalam kodenya. Nama internal yang diberikan oleh pengembangnya adalah “wiper-action.” Dalam versi yang lebih baru, bug telah diperbaiki dan malware mendapatkan perilaku ransomware lengkap, termasuk kemampuan untuk meninggalkan catatan yang menuntut korban membayar tebusan sebagai ganti kunci dekripsi.

Dalam sebuah posting yang diterbitkan Selasa, peneliti SentinelOne mengatakan mereka telah menentukan dengan keyakinan tinggi bahwa, berdasarkan kode dan server yang dilaporkan Apostle, malware tersebut digunakan oleh kelompok yang baru ditemukan yang memiliki hubungan dengan pemerintah Iran. Sementara catatan ransomware yang ditemukan para peneliti menunjukkan bahwa Apostle telah digunakan terhadap fasilitas penting di Uni Emirat Arab, target utamanya adalah Israel.

“Penggunaan ransomware sebagai alat yang mengganggu biasanya sulit dibuktikan, karena sulit untuk menentukan niat pelaku ancaman,” kata laporan hari Selasa. “Analisis malware Apostle memberikan wawasan langka tentang jenis serangan tersebut, menarik garis yang jelas antara apa yang dimulai sebagai malware penghapus hingga ransomware yang beroperasi penuh.”

Para peneliti telah menjuluki kelompok peretasan baru Agrius. SentinelOne melihat grup pertama kali menggunakan Apostle sebagai penghapus disk, meskipun cacat pada malware mencegahnya melakukannya, kemungkinan besar karena kesalahan logika dalam kodenya. Agrius kemudian menggunakan Deadwood, penghapus yang telah digunakan terhadap target di Arab Saudi pada tahun 2019.

Versi baru Agrius dari Apostle adalah ransomware lengkap.

“Kami percaya implementasi fungsionalitas enkripsi ada untuk menutupi maksud sebenarnya — menghancurkan data korban,” tulis postingan hari Selasa. “Tesis ini didukung oleh versi awal Apostle yang oleh penyerang secara internal dinamai ‘wiper-action.’”

Apostle memiliki kode utama yang tumpang tindih dengan pintu belakang, yang disebut Pembantu IPSec, yang juga digunakan Agrius. IPSec Helper menerima sejumlah perintah, seperti mengunduh dan menjalankan file yang dapat dieksekusi, yang dikeluarkan dari server kontrol penyerang. Baik Apostle dan IPSec Helper ditulis dalam bahasa .Net.

Agrius juga menggunakan webshell sehingga penyerang dapat bergerak secara lateral di dalam jaringan yang disusupi. Untuk menyembunyikan alamat IP mereka, anggota menggunakan ProtonVPN.

Peretas yang disponsori Iran sudah menyukai wiper disk. Pada tahun 2012, malware yang mereplikasi dirinya sendiri merobek jaringan Saudi Aramco yang berbasis di Arab Saudi, pengekspor minyak mentah terbesar di dunia, dan secara permanen menghancurkan hard drive lebih dari 30.000 workstation. Para peneliti kemudian mengidentifikasi cacing penghapus tersebut sebagai Shamoon dan mengatakan itu adalah karya Iran.

Pada 2016, Shamoon muncul kembali dalam kampanye yang melanda berbagai organisasi di Arab Saudi, termasuk beberapa lembaga pemerintah. Tiga tahun kemudian, para peneliti menemukan penghapus kaca Iran baru yang disebut ZeroCleare.

Apostle bukanlah penghapus pertama yang menyamar sebagai ransomware. NotPetya, worm yang menyebabkan kerusakan miliaran dolar di seluruh dunia, juga menyamar sebagai ransomware sampai peneliti memutuskan bahwa itu dibuat oleh peretas yang didukung pemerintah Rusia untuk mengguncang Ukraina.

Peneliti ancaman utama SentinelOne Juan Andres Guerrero-Saade mengatakan dalam sebuah wawancara bahwa malware seperti Apostle menggambarkan interaksi yang sering terjadi antara penjahat dunia maya yang bermotivasi finansial dan peretas negara-bangsa.

“Ekosistem ancaman terus berkembang, dengan penyerang mengembangkan teknik berbeda untuk mencapai tujuan mereka,” katanya. “Kami melihat geng-geng penjahat dunia maya belajar dari kelompok negara-bangsa dengan sumber daya yang lebih baik. Demikian pula, kelompok negara-bangsa meminjam dari geng kriminal — menyamarkan serangan mengganggu mereka dengan kedok ransomware tanpa indikasi apakah korban sebenarnya akan mendapatkan kembali file mereka dengan imbalan uang tebusan. ”

Cerita ini pertama kali tayang di Ars Technica.


Lebih Banyak Cerita WIRED yang Hebat

Diposting oleh : SGP Prize