Cyberthreat.id – Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengeluarkan peringatan tentang potensi serangan Ransomware Cuba terhadap jaringan kritis di negara tersebut.

Dikutip dari Bleeping Computer, sejak 21 Oktober lalu, CERT-UA mengamati kampanye email phishing baru yang meniru Layanan Pers Staf Umum Angkatan Bersenjata Ukraina. Aktor dibalik kampanye ini mendesak penerima untuk mengklik tautan yang disematkan. Situs web kemudian mendesak pengunjung untuk mengklik tombol "UNDUH", yang mengarah ke unduhan yang dapat dieksekusi ("AcroRdrDCx642200120169_uk_UA.exe") yang menyerupai penginstal Acrobat Reader.

“Mereka kemudian akan menjalankan file ini akan menginstal dan menjalankan file DLL rmtpak.dll, yang merupakan malware khas ransomware Cuba yang dikenal sebagai ROMCOM RAT,” kata lembaga tersebut.

ROMCOM sendiri pertama kali ditemukan oleh para peneliti di Palo Alto Networks pada Agustus 2022, menyebut afiliasi ransomware Cuba menggunakan malware baru sebagai "Tropical Scorpius. Malware ini memungkinkan pelaku ancaman untuk melakukan operasi file pada host, mencuri data, menelurkan proses palsu, memulai shell terbalik, dan banyak lagi.

Mengingat penggunaan backdoor RomCom, serta fitur lain dari file terkait, kami yakin ada kemungkinan untuk mengaitkan aktivitas yang terdeteksi dengan aktivitas grup Tropical Scorpius (Unit42) alias UNC2596 (Mandiant), yang bertanggung jawab atas distribusi Cuba Ransomware.

Sementara itu, laporan lain yang diterbitkan kemarin oleh BlackBerry memberikan beberapa rincian tambahan tentang penggunaan ROMCOM terhadap institusi militer di Ukraina, menjelaskan bahwa executable berbahaya yang digunakan dalam serangan tersebut ditandatangani dengan sertifikat digital yang valid.

BlackBerry juga menyoroti korban malware lainnya, yang berlokasi di Filipina, Brasil, dan Amerika Serikat. Dalam kasus ini, penyerang menggunakan situs penjatuhan muatan yang berbeda dengan memalsukan situs "Pemindai IP Lanjutan" yang sah. Khususnya, laporan BlackBerry tidak menghubungkan ROMCOM RAT dengan pelaku ancaman.

Pada September 2022, terungkap bahwa ransomware Cuba telah menyerang negara kecil Balkan, Montenegro, menuntut pembayaran tebusan sebesar $10.000.000.

Sementara insiden itu awalnya diberi rona geo-politik, ransomware Cuba tidak termasuk di antara peretas yang telah menyatakan minatnya pada hacktivisme, dan mereka juga tidak memihak dalam konflik antara Rusia dan Ukraina.