Cyberthreat.id – Peneliti keamanan siber dari Kaspersky mengungkapkan bahwa pihaknya baru-baru ini menemukan malware penghapus data bernama CryWiper menargetkan lembaga pemerintah Rusia, termasuk kantor walikota dan pengadilan.

“Meskipun menyamar sebagai ransomware dan memeras uang dari korban untuk 'mendekripsi' data sebenarnya tidak mengenkripsi, tetapi dengan sengaja menghancurkan data dalam sistem yang terpengaruh,” ungkap peneliti Kaspersky Fedor Sinitsyn dan Janis Zinchenko, sesuai yang dikutip dari The Hacker News.

Peneliti menjelaskan, malware berbasis C++, CryWiper dikonfigurasi untuk membangun kegigihan melalui tugas terjadwal dan berkomunikasi dengan server perintah-dan-kontrol (C2) untuk memulai aktivitas berbahaya. Selain menghentikan proses yang terkait dengan database dan server email, malware ini dilengkapi dengan kemampuan untuk menghapus salinan bayangan file dan memodifikasi Registri Windows untuk mencegah koneksi RDP dalam upaya yang mungkin menghalangi upaya respons insiden.

Sebagai langkah terakhir, wiper merusak semua file kecuali file dengan ekstensi “.exe”, “.dll”, “lnk”, “.sys”, dan “.msi”, sementara juga melewatkan direktori tertentu, termasuk C :\Windows, Boot, dan tmp, yang dapat membuat mesin tidak dapat beroperasi.

File yang ditimpa dengan data sampah kemudian ditambahkan dengan ekstensi yang disebut ".CRY", setelah itu catatan tebusan dijatuhkan untuk memberi kesan bahwa itu adalah program ransomware, mendesak korban untuk membayar 0,5 Bitcoin untuk memulihkan akses.

“Aktivitas CryWiper menunjukkan bahwa pembayaran tebusan tidak menjamin pemulihan file dan malware sengaja menghancurkan konten file,” kata peneliti.

Peneliti mengatakan, CryWiper adalah strain malware penghapus pembalasan kedua yang ditujukan ke Rusia setelah RURansom, penghapus berbasis .NET yang ditemukan menargetkan entitas di negara tersebut awal Maret ini.

Konflik yang sedang berlangsung antara Rusia dan Ukraina telah melibatkan penyebaran beberapa wiper, dengan yang terakhir terkena berbagai malware seperti WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2, dan DoubleZero.

“Wiper bisa efektif terlepas dari keterampilan teknis penyerang, karena bahkan wiper yang paling sederhana pun dapat mendatangkan malapetaka pada sistem yang terpengaruh,” kata peneliti Trellix Max Kersten dalam analisis malware destruktif bulan lalu.

Max mengatakan, waktu yang diperlukan untuk membuat malware semacam itu rendah, terutama jika dibandingkan dengan backdoor spionase yang rumit dan kerentanan yang sering menyertai yang digunakan. Pengembalian investasi tidak perlu tinggi dalam kasus tersebut, meskipun tidak mungkin beberapa wiper akan mendatangkan banyak malapetaka di dalam dan dari diri mereka sendiri.