APT Rusia Merilis Varian Malware Wiper AcidRain yang Lebih Mematikan

Para peneliti telah menemukan versi malware wiper yang lebih berbahaya dan produktif yang digunakan oleh intelijen militer Rusia untuk mengganggu layanan broadband satelit di Ukraina sesaat sebelum invasi Rusia ke negara tersebut pada Februari 2022.

Varian baru, “Tuang Asam,” memiliki banyak kesamaan dengan pendahulunya tetapi dikompilasi untuk arsitektur X86, tidak seperti AcidRain yang menargetkan sistem berbasis MIPS. Wiper baru ini juga mencakup fitur untuk digunakan terhadap target yang lebih luas secara signifikan dibandingkan AcidRain, menurut peneliti di SentinelOne yang menemukan ancaman tersebut.

Kemampuan Merusak yang Lebih Luas

“Kemampuan destruktif AcidPour yang diperluas mencakup logika Linux Unsorted Block Image (UBI) dan Device Mapper (DM), yang berdampak pada perangkat genggam, IoT, jaringan, atau, dalam beberapa kasus, perangkat ICS,” kata Tom Hegel, peneliti ancaman senior di SentinelOne. “Perangkat seperti jaringan area penyimpanan (SAN), penyimpanan terpasang jaringan (NAS), dan susunan RAID khusus kini juga berada dalam cakupan efek AcidPour.”

Kemampuan baru lainnya dari AcidPour adalah fungsi penghapusan mandiri yang menghapus semua jejak malware dari sistem yang terinfeksi, kata Hegel. AcidPour secara keseluruhan relatif lebih canggih daripada AcidRain, katanya, menunjuk pada penggunaan proses forking yang berlebihan dan pengulangan operasi tertentu yang tidak beralasan sebagai contoh kecerobohan keseluruhannya.

SentinelOne menemukan AcidRain pada Februari 2022 menyusul serangan siber itu mematikan sekitar 10,000 modem satelit terkait dengan jaringan KA-SAT penyedia komunikasi Viasat. Serangan itu mengganggu layanan broadband konsumen bagi ribuan pelanggan di Ukraina, dan puluhan ribu orang di Eropa. SentinelOne menyimpulkan bahwa malware tersebut kemungkinan besar merupakan hasil kerja kelompok yang terkait dengan Sandworm (alias APT 28, Fancy Bear, dan Sofacy), sebuah operasi Rusia yang bertanggung jawab atas banyak serangan siber yang mengganggu di Ukraina.

Peneliti SentinelOne pertama kali menemukan varian baru, AcidPour, pada 16 Maret namun belum mengamati siapa pun yang menggunakannya dalam serangan sebenarnya.

Ikatan Cacing Pasir

Analisis awal mereka terhadap wiper tersebut mengungkapkan beberapa kesamaan dengan AcidRain – yang kemudian dikonfirmasi oleh penyelaman lebih dalam. Tumpang tindih penting yang ditemukan SentinelOne termasuk penggunaan mekanisme reboot yang sama dengan AcidRain oleh AcidPour, dan logika identik untuk penghapusan direktori secara rekursif.

SentinelOne juga menemukan mekanisme penghapusan berbasis IOCTL AcidPour sama dengan mekanisme penghapusan di AcidRain dan di VPNFilter, sebuah platform serangan modular yang dimiliki Departemen Kehakiman AS terkait dengan Cacing Pasir. IOCTL adalah mekanisme untuk menghapus atau menghapus data secara aman dari perangkat penyimpanan dengan mengirimkan perintah khusus ke perangkat.

“Salah satu aspek paling menarik dari AcidPour adalah gaya pengkodeannya, yang mengingatkan pada pragmatis CaddyWiper digunakan secara luas terhadap target Ukraina bersama dengan malware terkenal seperti Industri 2, ”kata SentinelOne. Baik CaddyWiper dan Industroyer 2 adalah malware yang digunakan oleh kelompok negara yang didukung Rusia dalam serangan destruktif terhadap organisasi di Ukraina, bahkan sebelum invasi Rusia ke negara tersebut pada bulan Februari 2022.

CERT Ukraina telah menganalisis AcidPour dan mengaitkannya dengan UAC-0165, aktor ancaman yang merupakan bagian dari kelompok Sandworm, kata SentinelOne.

AcidPour dan AcidRain adalah salah satu dari sekian banyak wiper yang dikerahkan oleh aktor-aktor Rusia untuk menyerang sasaran-sasaran Ukraina dalam beberapa tahun terakhir — dan khususnya setelah dimulainya perang antara kedua negara saat ini. Meskipun pelaku ancaman berhasil mematikan ribuan modem dalam serangan Viasat, perusahaan mampu memulihkan dan menyebarkannya kembali setelah menghapus malware tersebut.

Namun, dalam banyak kasus lain, organisasi terpaksa membuang sistem setelah serangan wiper. Salah satu contoh yang paling menonjol adalah tahun 2012 Shamoon serangan wiper terhadap Saudi Aramco yang melumpuhkan sekitar 30,000 sistem di perusahaan tersebut.

Seperti halnya Shamoon dan AcidRain, pelaku ancaman biasanya tidak perlu membuat wiper yang canggih agar bisa efektif. Itu karena satu-satunya fungsi malware adalah menimpa atau menghapus data dari sistem dan menjadikannya tidak berguna taktik mengelak dan teknik kebingungan yang terkait dengan pencurian data dan serangan spionase dunia maya tidak diperlukan.

Pertahanan terbaik bagi wiper — atau untuk membatasi kerusakan akibat wiper — adalah dengan menerapkan jenis pertahanan yang sama seperti terhadap ransomware. Hal ini berarti memiliki cadangan data penting dan memastikan rencana dan kemampuan respons insiden yang kuat.

Segmentasi jaringan juga penting karena wiper akan lebih efektif jika mampu menyebar ke sistem lain, sehingga postur pertahanan seperti itu membantu menggagalkan pergerakan lateral.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware