Microsoft: Serangan siber penghapus data berlanjut di Ukraina

Microsoft: Serangan siber penghapus data berlanjut di Ukraina

Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini.


Microsoft memperingatkan bahwa kelompok di balik serangan siber “HermeticWiper” — serangkaian serangan malware penghapusan data yang menyerang banyak organisasi Ukraina pada 23 Februari — tetap menjadi ancaman yang berkelanjutan.

Peringatan itu datang sebagai bagian dari pembaruan yang diterbitkan hari ini oleh Microsoft tentang aktivitas serangan siber yang telah dilacak oleh perusahaan di Ukraina.

Pembaruan sebagian besar mengkompilasi dan mengklarifikasi rincian tentang serangkaian serangan wiper yang dilaporkan sebelumnya yang telah menyerang pemerintah Ukraina dan organisasi sipil selama seminggu terakhir. Tetapi pembaruan juga menyiratkan bahwa serangan wiper tambahan telah diamati yang tidak diungkapkan untuk saat ini.

Secara khusus, Microsoft menunjukkan bahwa hingga saat ini, “terus ada risiko” dari aktor ancaman di balik serangan HermeticWiper.

Serangkaian serangan cyber wiper bertepatan dengan peningkatan pasukan tanpa alasan Rusia, invasi dan serangan mematikan terhadap tetangganya, Ukraina. Rusia tidak disebutkan dalam pembaruan blog Microsoft Security Response Center (MSRC) hari ini.

Pembaruan MSRC juga mengikuti posting blog dari presiden Microsoft Brad Smith di Senin, di mana ia menyatakan bahwa beberapa serangan siber baru-baru ini terhadap sasaran sipil di Ukraina “menimbulkan kekhawatiran serius di bawah Konvensi Jenewa.”

HermeticWiper

Sebagai permulaan, pembaruan blog MSRC mengklarifikasi titik kebingungan: Malware penghapus yang telah dijuluki HermeticWiper oleh peneliti lain sebenarnya adalah malware yang sama dengan penghapus yang oleh Smith disebut sebagai “FoxBlade” dalam posting blog Seninnya.

Serangan HermeticWiper/FoxBlade awal menyerang organisasi “yang sebagian besar berlokasi di atau dengan hubungan ke Ukraina” pada 23 Februari, kata Microsoft di blog. Peneliti lain telah mencatat bahwa HermeticWiper menyerang organisasi Ukraina beberapa jam sebelum invasi Rusia ke Ukraina.

Serangan HermeticWiper mempengaruhi “ratusan sistem yang mencakup beberapa pemerintahan, informasi teknologi, sektor keuangan, dan organisasi energi,” kata Microsoft.

Namun, yang paling mengkhawatirkan adalah pengungkapan nyata Microsoft bahwa serangan siber HermeticWiper tidak berhenti pada 23 Februari. Meskipun perusahaan tidak memberikan secara spesifik, Microsoft tampaknya menggambarkan risiko berkelanjutan dari aktor ancaman di balik serangan HermeticWiper/FoxBlade.

“Microsoft menilai bahwa terus ada risiko aktivitas destruktif dari grup ini, karena kami telah mengamati penyusupan lanjutan sejak 23 Februari yang melibatkan kemampuan jahat ini,” kata perusahaan itu dalam pembaruan posting blog.

VentureBeat telah menghubungi Microsoft untuk menanyakan apakah perusahaan dapat menentukan pada tanggal berapa ia telah terobsesi menemukan serangan lain yang melibatkan HermeticWiper/FoxBlade, dan tanggal berapa serangan terbaru yang melibatkan malware penghapus tersebut.

Microsoft tidak memberikan atribusi apa pun untuk serangan siber HermeticWiper/FoxBlade, mengatakan bahwa perusahaan “belum menautkan” ke grup aktivitas ancaman yang diketahui sebelumnya.”

Setelah serangan penghapus seperti HermeticWiper, FBI dan Badan Keamanan Cybersecurity dan Infrastruktur federal ( CISA) beberapa hari lalu mengeluarkan peringatan tentang kemungkinan bahwa malware penghapus yang diamati di Ukraina dapat berdampak pada organisasi di luar negeri.

“Serangan siber mengganggu lebih lanjut terhadap organisasi di Ukraina kemungkinan akan terjadi dan mungkin secara tidak sengaja menyebar ke organisasi di negara lain,” kata CISA dan FBI dalam nasihat tersebut.

Penghapus lainnya

Dalam pembaruan posting blog hari ini, Microsoft mengatakan pihaknya juga melacak dua jenis malware lain yang terkait dengan aktor ancaman ini di belakang HermeticWiper. Keluarga malware tersebut diidentifikasi pada hari Selasa oleh para peneliti di ESET — “HermeticWizard,” dijelaskan oleh ESET sebagai worm yang digunakan untuk menyebarkan HermeticWiper, dan “HermeticRansom,” suatu bentuk ransomware umpan. (Microsoft mengacu pada HermeticRansom dengan nama “SonicVote,” dan menempatkan HermeticWizard di bawah payung FoxBlade dalam skema penamaannya).

Pembaruan blog MSRC menambahkan bahwa Microsoft mengetahui malware penghapus yang diberi nama “IsaacWiper” oleh peneliti ESET, dan yang pertama kali diungkapkan oleh ESET pada hari Selasa. IsaacWiper — yang disebut Microsoft dengan nama “Lasainraw” — adalah “serangan malware destruktif terbatas,” kata pembaruan blog.

Dalam hal IsaacWiper/Lasainraw, “Microsoft terus menyelidiki insiden ini dan saat ini belum mengaitkannya dengan aktivitas ancaman yang diketahui,” kata blog tersebut.

Seperti yang disinggung di bagian HermeticWiper, Microsoft mencirikan keseluruhan aktivitas wiper di Ukraina sedang berlangsung. Pembaruan blog mencatat bahwa Microsoft “terus mengamati serangan malware destruktif yang berdampak pada organisasi di Ukraina.”

VentureBeat telah menghubungi Microsoft untuk menanyakan apakah ini berarti perusahaan telah mengamati serangan wiper baru-baru ini di Ukraina, di luar yang terdaftar di blog. VentureBeat juga bertanya apakah Microsoft dapat mengatakan kapan serangan wiper terakhir terjadi di Ukraina yang telah diamati.

Secara keseluruhan, dengan serangan cyber wiper di Ukraina , “kami menilai tujuan yang dimaksudkan dari serangan ini adalah gangguan, degradasi, dan penghancuran sumber daya yang ditargetkan,” kata posting Microsoft yang diperbarui.

Serangan yang ditargetkan

Penyebutan serangan yang “ditargetkan” pada sumber daya tertentu menggemakan apa yang dikatakan Smith di postingannya pada hari Senin, ketika dia menyatakan bahwa “serangan siber [in Ukraine] baru-baru ini dan yang sedang berlangsung telah ditargetkan secara tepat. Dia mencatat bahwa penggunaan “teknologi malware sembarangan,” seperti dalam serangan NotPetya tahun 2017, sejauh ini belum diamati.

Blog MSRC pembaruan tampaknya tidak menyebutkan beberapa serangan siber baru-baru ini di Ukraina yang disinggung Smith dalam posting Seninnya. Smith, misalnya, menyebutkan serangan siber baru-baru ini di Ukraina terhadap “sektor pertanian, layanan tanggap darurat [and] upaya bantuan kemanusiaan.” Blog MSRC tampaknya tidak memberikan perincian tentang insiden serangan siber tersebut, karena tidak ada penyebutan langsung dari target mana pun yang terpengaruh oleh salah satu serangan yang dibahas dalam postingan tersebut.

Pos tersebut mencatat bahwa serangan “WhisperGate” pada 13 Januari — yang pertama dalam rangkaian serangan malware destruktif ini terhadap organisasi Ukraina — memengaruhi beberapa organisasi nirlaba di Ukraina.

Microsoft tidak secara khusus mengaitkan serangan apa pun dalam pembaruan blog, hanya mengatakan bahwa “beberapa dari ancaman ini dinilai lebih terkait dengan kepentingan negara-bangsa, sementara yang lain tampaknya lebih oportunistik mencoba untuk mengambil keuntungan dari peristiwa seputar konflik.”

“Kami telah mengamati serangan menggunakan kembali komponen malware yang dikenal yang sering tercakup oleh deteksi yang ada , sementara yang lain telah menggunakan malware khusus yang untuknya Microsoft telah membangun perlindungan komprehensif baru, ”kata perusahaan itu dalam hal ini e update.

Mengutip pakar terkenal tentang serangan siber, The Washington Post dan VentureBeat melaporkan pada hari Minggu bahwa malware penghapus data telah menyerang stasiun kontrol perbatasan Ukraina di hari-hari sebelumnya. Serangan wiper memaksa agen perbatasan untuk memproses pengungsi yang melarikan diri dari negara itu dengan pensil dan kertas, dan berkontribusi pada menunggu lama untuk menyeberang ke Rumania, menurut pakar, CEO HypaSec Chris Kubecka.

Serangan siber di stasiun kontrol perbatasan Ukraina pertama kali dilaporkan oleh Washington Post. Layanan Penjaga Perbatasan Negara Ukraina dan Layanan Keamanan Ukraina belum menanggapi pesan email yang menanyakan tentang serangan itu.

Dalam posting blognya Senin, di mengatakan bahwa beberapa serangan siber Ukraina baru-baru ini “menimbulkan kekhawatiran serius di bawah Konvensi Jenewa,” Smith merujuk pada perjanjian internasional yang mendefinisikan apa yang biasa disebut sebagai “kejahatan perang.” Pemerintah Ukraina adalah pelanggan Microsoft, dan begitu pula “banyak organisasi lain” di Ukraina, tulisnya di blog.

Misi VentureBeat adalah menjadi alun-alun kota digital bagi pengambil keputusan teknis untuk mendapatkan pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Belajarlah lagi

Baca selengkapnya