TEMPO.CO, Jakarta - Kartel kejahatan di dunia maya telah terlibat dalam lima strategi berbeda yang menarget Ukraina sepanjang April hingga Agustus tahun ini. Hal ini diketahui dari laporan Threat Analysis Group (TAG) Google terbit Juli lalu. Laporan merinci aktivitas dunia maya lanjutan yang ditujukan ke negara Eropa Timur, saat perang Rusia - Ukraina sedang berlangsung.

Pelaku serangan yang dimaksud adalah UAC-0098, kelompok yang dideskripsikan sebagai pelaku ancaman dengan riwayat mengirimkan trojan perbankan IcedID, yang mengarah ke serangan ransomware. "Penyerang baru-baru ini mengalihkan fokus mereka untuk menargetkan organisasi Ukraina, pemerintah Ukraina, dan organisasi kemanusiaan dan nirlaba Eropa," kata peneliti TAG, Pierre-Marc Bureau, dalam laporan itu.

UAC-0098 diyakini telah berfungsi sebagai broker akses awal untuk grup ransomware seperti Quantum dan Conti (alias FIN12, Gold Ulrick, atau Wizard Spiker). Salah satu strategi terkenalnya ialah menyebarkan CrescentImp dan Cobalt Strike Beacons ke host yang ditargetkan di media dan entitas infrastruktur penting. Ini seperti yang dilakukannya pada Juni lalu saat menyalahgunakan kerentanan Follina (CVE-2022-30190) dalam sistem operasi Windows.

TAG menduga berbagai kejadian yang dimulai pada akhir April lalu menjadi bagian dari serangkaian serangan grup yang sama. Antara lain email phishing untuk mengirimkan AnchorMail (alias LackeyBuilder), varian dari implan AnchorDNS grup TrickBot yang menggunakan SMTP untuk perintah-dan-kontrol.

Strategi phishing berikutnya adalah mendistribusikan IcedID dan Cobalt Strike ke organisasi Ukraina dan berulang kali menyerang sektor perhotelan di negara itu. Beberapa di antaranya menyamar sebagai Polisi Siber Nasional Ukraina atau perwakilan Elon Musk dan StarLink.

Kemudian, sekitar pertengahan Mei, UAC-0098 juga disebutkan memanfaatkan akun yang disusupi dari sebuah hotel di India untuk mengirim lampiran yang mengandung malware. Sasarannya adalah organisasi yang bekerja di industri perhotelan di Ukraina, sebelum serangan berkembang ke LSM kemanusiaan di Italia.

Serangan serupa juga telah diamati terhadap entitas di sektor teknologi, ritel, dan pemerintah di Ukraina. Dalam serangan-serangan itu biner IcedID disembunyikan sebagai pembaruan Microsoft untuk memicu infeksi.

TAG memetakan UAC-0098 sebagai satu-satunya kelompok peretas yang berafiliasi dengan Conti yang mengincar Ukraina sejak awal perang. Pada Juli, IBM Security X-Force senada dengan mengungkap bahwa geng TrickBot mengatur enam strategi berbeda untuk secara sistematis menargetkan negara dengan sejumlah besar malware.

"Kegiatan UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur," kata Bureau melukiskan tren pelaku ancaman yang mengubah penetapan target mereka agar selaras dengan kepentingan geopolitik regional.

THE HACKER NEWS

Baca juga:
Amerika Matikan Botnet Rusia yang Meretas Jutaan Perangkat di Dunia