Malware “HermeticWiper” yang Merusak Menyerang Ukraina – Ukraina menderita berbagai serangan siber. Salah satu yang paling menarik adalah malware yang sebelumnya tidak dikenal dengan muatan destruktif yang muncul di ratusan mesin Ukraina belakangan ini.
Malware “HermeticWiper” yang Merusak Menyerang Ukraina
Baca Juga : Lompatan Kuantum Besar Berikutnya Mungkin Membutuhkan Perangkat Lunak yang Lebih Baik
binaryjs – Pada 23 Februari, sebuah tweet dari ESET Research mengklaim mereka menemukan malware baru yang menghapus data, yang digunakan di Ukraina. Garis waktu mengikuti serangan DDoS yang ditujukan ke beberapa situs web penting Ukraina ( Gambar A ). Penelitian ini dengan cepat dikonfirmasi oleh Symantec , sebuah divisi dari Broadcom Software.
Garis waktu kompleks peristiwa dunia maya yang menargetkan Ukraina
Sebelum operasi DDoS dan penemuan wiper baru ini, serangan lain melanda Ukraina pada pertengahan Januari, dijuluki WhisperGate, diekspos oleh Microsoft pada 15 Januari.
Microsoft melaporkan bahwa WhisperGate telah dijatuhkan pada sistem korban (beberapa organisasi pemerintah, nirlaba, dan teknologi informasi) di Ukraina pada 13 Januari. Malware tersebut telah dirancang agar terlihat seperti ransomware , tetapi sebenarnya tidak memiliki kode pemulihan tebusan di berkas biner. Ini telah dikembangkan menjadi destruktif dan membuat targetnya tidak dapat digunakan.
Sejalan dengan operasi penghapus pertama ini, serangkaian serangan situs web terjadi pada malam hari antara 13 dan 14 Januari, seperti yang dilaporkan oleh CERT-UA, tim resmi pemerintah untuk menanggapi insiden komputer di Ukraina.
Beberapa situs web Ukraina dirusak untuk menampilkan pesan yang ditulis dalam bahasa Ukraina, Rusia, dan Polandia ( Gambar B ). WhisperGate juga dijatuhkan dan digunakan di situs web tersebut. Menurut Layanan Negara Ukraina untuk Komunikasi Khusus dan Perlindungan Informasi, pada 13-14 Januari 2022, hampir 70 situs web Ukraina (domestik dan internasional) diserang.
Pesan yang secara kasar diterjemahkan ke dalam bahasa Inggris, adalah:
“Orang Ukraina! Semua data pribadi Anda telah dikirim ke jaringan publik. Semua data di komputer Anda dihancurkan dan tidak dapat dipulihkan. Semua informasi tentang Anda menusuk publik, dongeng dan menunggu yang terburuk. Ini untuk Anda untuk masa lalu Anda, masa depan dan masa depan. Untuk Volhynia, OUN UPA, Galicia, Polandia, dan kawasan bersejarah.”
Pesan yang ditampilkan di situs web yang dirusak adalah gambar. Gambar, tidak seperti teks, memiliki metadata, terkadang menyertakan koordinat fisik. Dalam hal ini, gambar memiliki garis lintang dan garis bujur tertentu: tempat parkir Sekolah Ekonomi Warsawa di Polandia. Pilihan menggunakan gambar daripada teks mungkin dilakukan untuk mengirim tanda palsu, seperti posisi GPS itu.
Serhiy Demedyuk, wakil sekretaris dewan keamanan dan pertahanan nasional Ukraina, menyalahkan serangan itu pada kelompok yang dijuluki UNC1151 . Dia menambahkan bahwa UNC1151 adalah kelompok spionase dunia maya yang berafiliasi dengan layanan khusus Republik Belarus.
Pada 15 Februari, serangan DDoS baru dimulai terhadap Kementerian Pertahanan Ukraina di samping target lainnya .
Acara selanjutnya dalam rangkaian acara besar-besaran ini adalah kemunculan malware HermeticWiper.
HermeticWiper: Malware yang sangat efisien dan merusak
23 Februari melihat munculnya laporan tentang HermeticWiper, saat ESET memulai utas Twitter tentangnya.
Salah satu karakteristik yang sangat menarik dari wiper ini adalah bahwa itu adalah malware yang ditulis dengan sangat baik dengan fungsi standar yang sangat sedikit, tidak seperti kebanyakan malware lain yang tersebar.
Metode yang digunakan untuk menghapus data telah digunakan di masa lalu oleh beberapa pelaku ancaman dengan wiper terkenal Shamoon and Destover : Ini menyalahgunakan driver pengelola partisi Windows yang sah untuk melakukan operasi penulisannya. Dalam kasus HermeticWiper, manajer partisi EaseUS (empntdrv.sys) disalahgunakan.
Malware ini berisi beberapa versi driver yang berbeda dan menggunakan versi yang sesuai tergantung pada versi sistem operasi dan arsitektur yang dijalankannya. Versi driver yang berbeda ini dikompresi sebagai sumber daya terkompresi ms dalam biner malware. Karena malware hanya 114KB, data driver ini membutuhkan lebih dari 70%.
Salah satu tindakan pertama yang dilakukan oleh HermeticWiper terdiri dari menonaktifkan salinan bayangan volume , sistem yang dapat membantu administrator untuk memulihkan sistem yang rusak.
HermeticWiper kemudian merusak Master Boot Record (MBR) perangkat, dan menghapus file di folder strategis yang berbeda dari sistem operasi Windows:
- C:\Documents and Settings\
- C:\Informasi Volume Sistem\
- C:\Windows\SYSVOL\
- C:\Windows\System32\winevt\Logs
Tindakan destruktif terakhir terdiri dari menentukan apakah sistem file partisi hard drive adalah FAT atau NTFS dan merusak partisi yang sesuai. Setelah selesai, sistem dipaksa untuk dimatikan dan tidak akan pernah bisa boot lagi.
Dengan melakukan ini, malware memastikan sistem benar-benar tidak dapat digunakan.
Sejauh ini, HermeticWiper hanya tersebar dan digunakan di Ukraina. Di samping itu, nama malware ini berasal dari fakta bahwa ia menggunakan sertifikat yang ditandatangani dari nama perusahaan Hermetica Digital Ltd dan berlaku pada April 2021. Menurut penelitian SentinelOne tentang HermeticWiper, “kemungkinan penyerang menggunakan perusahaan shell atau meminta perusahaan yang sudah mati untuk menerbitkan sertifikat digital ini.”
Bagaimana agar tetap aman dari HermeticWiper?
Penggunaan HermeticWiper di luar Ukraina tidak diharapkan. Indikator kompromi (IOC) telah dibagikan bersama dengan aturan YARA untuk membantu mendeteksi malware pada sistem.
Tidak seperti malware lain yang tindakannya umumnya dikendalikan oleh aktor ancaman melalui komunikasi jaringan, HermeticWiper tidak memerlukannya. Oleh karena itu, tidak ada pola jaringan yang dianalisis untuk mendeteksi malware, kecuali jika diunduh dari jaringan, dalam hal ini mungkin berguna untuk menerapkan pemeriksaan paket dalam (DPI) untuk mendeteksi biner. Titik akhir harus dipindai untuk IOC ini.