Malware baru yang licik menyamar sebagai ransomware untuk menghapus data pengadilan Rusia

Malware baru yang licik menyamar sebagai ransomware untuk menghapus data pengadilan Rusia

Organisasi publik di Rusia, termasuk kantor walikota dan pengadilan, menjadi sasaran varian malware baru dan cukup licik.

CryWiper menyamar sebagai ransomware, mencoba memeras sejumlah uang dari korban (0,5 bitcoin, atau sekitar $9.000 saat ini), tetapi tujuannya bukan untuk menghasilkan uang, tetapi untuk menghancurkan semua file yang ditemukan di titik akhir yang terinfeksi.

Peneliti keamanan dunia maya dari Kaspersky melaporkan serangan dunia maya “presisi” di Rusia, di mana file yang terinfeksi mendapatkan ekstensi baru – .cry (maka nama CryWiper). Meskipun media lokal melaporkan bahwa penyerang menargetkan kantor walikota dan pengadilan negara, tidak diketahui secara pasti berapa banyak entitas yang berhasil mereka kompromikan.

Orang Rusia membidik orang Rusia?

Apa yang kami ketahui adalah bahwa malware ini memiliki karakteristik yang sama dengan dua jenis malware lainnya – Trojan-Ransom.Win32.Xorist dan Trojan-Ransom.MSIL.Agent. Mereka semua memiliki alamat email yang sama yang disebutkan dalam catatan tebusan. Xorist pertama kali terlihat pada tahun 2010 dan digambarkan sebagai keluarga ransomware Windows yang menargetkan pengguna berbahasa Rusia dan Inggris.

CryWiper ditulis dalam C++, yang menurut Ars Technica merupakan pilihan yang tidak biasa dan menunjukkan bahwa penjahat dunia maya dapat menggunakan perangkat non-Windows untuk menulis kode.

Publikasi yang sama juga menyatakan bahwa malware tersebut relatif mirip dengan IsaacWiper, malware penghapus yang baru-baru ini menargetkan perusahaan Ukraina. Rupanya kedua wiper menggunakan algoritme yang sama untuk menghasilkan angka acak semu yang menimpa data di file, sehingga merusaknya secara permanen.

Penyerang diduga menggunakan algoritma Mersenne Vortex PRNG, yang merupakan fitur langka lainnya.

Wiper adalah salah satu varian malware paling berbahaya yang tersedia, karena satu-satunya tujuan mereka adalah untuk “menghapus” secara permanen semua data pada titik akhir target. Untuk bertahan dari serangan tersebut, pengguna disarankan untuk berhati-hati saat mengunduh lampiran email dan memastikan bahwa perangkat lunak dan perangkat keras mereka selalu mutakhir. Memiliki solusi keamanan siber yang canggih (terbuka di tab baru) juga disarankan.

Oleh: Ars Technica (buka di tab baru)

Author: Lawrence Carter