Peneliti di perusahaan perangkat lunak, Symantec mengatakan penyerang dunia maya menyebarkan ransomware dalam beberapa kasus untuk menjadi umpan atau pengalih perhatian sebelum invasi Rusia ke Ukraina terjadi. Mereka menargetkan organisasi di Ukraina dengan malware yang dapat menghapus disk pada Rabu (23/2/2022). Malware penghapus data ini dijuluki HermaticWiper oleh seorang peneliti di startup keamanan siber SentinelOne. Julukan ini diberikan karena sertifikat digitalnya dikeluarkan dengan nama Hermetica Digital Ltd.
Melansir dari venturebeat.com, Jumat (25/2/2022) para peneliti di Symantec dan perusahaan keamanan internet yang berasal dari Slovakia, ESET mengungkapkan pertama kalinya rincian mengenai penghapusan data pada hari Rabu kemarin. ESET melaporkan, malware wiper dipasang pada ratusan mesin di Ukraina, mengikuti serangan distributed denial of service (DDoS) yang menargetkan situs web Ukraina. Peneliti Symantec melaporkan, mereka juga menemukan bukti bahwa wiper menyerang negara lain yaitu Lithuania dan Latvia.
Berdasarkan keterangan yang diperoleh melalui unggahan blog nya, peneliti di Symantec melaporkan pada serangan hari Rabu lalu, malware yang rusak disebarkan pada organisasi pertahanan serta perusahaan keuangan, penerbangan dan layanan teknologi informasi (TI). “Dalam beberapa serangan yang telah diselidiki Symantec hingga saat ini, ransomware juga dikerahkan terhadap organisasi yang terpengaruh pada saat yang sama dengan wiper. Seperti halnya wiper, tugas terjadwal digunakan untuk menyebarkan ransomware. Nama file yang digunakan oleh ransomware termasuk client.exe, cdir.exe, cname.exe, connh.exe, dan intpub.exe. Tampaknya ransomware digunakan sebagai umpan atau pengalih perhatian dari serangan wiper,” kata peneliti Symantec dalam sebuah posting blog . Serangan ini memiliki beberapa kesamaan dengan serangan wiper WhisperGate pada Januari lalu yang terjadi sebelumnya di Ukraina.
Pada saat itu, wiper disamarkan sebagai ransomware yang menyebabkan lusinan situs web pemerintah Ukraina rusak dan tidak dapat diakses. Peneliti SentinelOne, Juan Andres Guerrero Saade, yang memberi nama malware ini melaporkan, wiper menghapus perangkat Windows, setelah menghapus salinan bayangan dan memanipulasi Master Boot Record (MBR) setelah reboot. “Setelah seminggu melakukan perusakan dan peningkatan serangan DDoS, proliferasi operasi sabotase melalui malware wiper adalah eskalasi yang diharapkan dan disesalkan,” tulis Guerrero Saade.
Para peneliti kemanan di tim perusahaan perlindungan digital, Digital Shadows juga mengatakan risiko serangan ransomware ini dapat meluas ke luar Ukraina dan berdampak pada negara negara anggota NATO dan UE. Para peneliti mengamati setelah HermeticWiper diketahui ikut memengaruhi jaringan di Latvia dan Lithuania. Serangan HermaticWiper ini mengingatkan pada serangan NotPetya di tahun 2017 lalu, kata para peneliti Digital Shadows. Serangan NotPetya 2017 adalah serangan malware yang diperintahkan pemerintah Rusia, yang awalnya menargetkan perusahaan di Ukraina. Namun pada akhirnya worm NotPetya menyebar hingga ke seluruh dunia. Serangan ini menjadi serangan siber paling mahal hingga saat ini, dengan kerugian yang mencapai 10 miliar dolar AS.