Malware ‘Tardigrade’ Memukul Fasilitas Biomanufaktur
Security

Malware ‘Tardigrade’ Memukul Fasilitas Biomanufaktur

Ketika ransomware menyerang fasilitas biomanufaktur musim semi ini, ada yang tidak beres dengan tim respons. Para penyerang hanya meninggalkan uang tebusan setengah hati, dan tampaknya tidak terlalu tertarik untuk benar-benar mengumpulkan pembayaran. Lalu ada malware yang mereka gunakan: jenis yang sangat canggih yang dijuluki Tardigrade.

Ketika para peneliti di perusahaan biomedis dan keamanan siber BioBright menggali lebih jauh, mereka menemukan bahwa Tardigrade melakukan lebih dari sekadar mengunci komputer di seluruh fasilitas. Ditemukan bahwa malware dapat beradaptasi dengan lingkungannya, menyembunyikan dirinya sendiri, dan bahkan beroperasi secara mandiri ketika terputus dari server perintah dan kontrolnya. Ini adalah sesuatu yang baru.

Hari ini Pusat Analisis dan Berbagi Informasi Bioeconomy nirlaba keamanan siber, atau BIO-ISAC, di mana BioBright menjadi anggotanya, secara terbuka mengungkapkan temuan tentang Tardigrade. Meskipun mereka tidak membuat atribusi tentang siapa yang mengembangkan malware, mereka mengatakan kecanggihannya dan petunjuk forensik digital lainnya menunjukkan kelompok “ancaman persisten tingkat lanjut” yang didanai dengan baik dan termotivasi. Terlebih lagi, kata mereka, malware tersebut “secara aktif menyebar” di industri biomanufaktur.

“Ini hampir pasti dimulai dengan spionase, tetapi telah menyerang segalanya—gangguan, kehancuran, spionase, semuanya di atas,” kata Charles Fracchia, CEO BioBright. “Ini adalah malware paling canggih yang pernah kami lihat di ruang ini. Ini sangat mirip dengan serangan dan kampanye lain oleh APT negara bangsa yang menargetkan industri lain.”

Ketika dunia berjuang untuk mengembangkan, memproduksi, dan mendistribusikan vaksin dan obat-obatan mutakhir untuk memerangi pandemi Covid-19, pentingnya biomanufaktur telah diperlihatkan sepenuhnya. Fracchia menolak berkomentar tentang apakah para korban melakukan pekerjaan terkait dengan Covid-19, tetapi menekankan bahwa proses mereka memainkan peran penting.

Para peneliti menemukan bahwa Tardigrade memiliki beberapa kemiripan dengan pengunduh malware populer yang dikenal sebagai Smoke Loader. Juga dikenal sebagai Dofoil, alat ini telah digunakan untuk mendistribusikan muatan malware setidaknya sejak 2011 atau sebelumnya dan sudah tersedia di forum kriminal. Pada tahun 2018, Microsoft menghalangi kampanye penambangan cryptocurrency besar yang menggunakan Smoke Loader, dan perusahaan keamanan Proofpoint menerbitkan temuan pada bulan Juli tentang serangan pencurian data yang menyamarkan pengunduh sebagai alat privasi yang sah untuk mengelabui korban agar menginstalnya. Penyerang dapat mengadaptasi fungsionalitas malware dengan berbagai macam plug-in siap pakai, dan dikenal karena menggunakan trik teknis yang cerdas untuk menyembunyikan dirinya.

Para peneliti BioBright mengatakan bahwa meskipun mirip dengan Smoke Loader, Tardigrade tampaknya lebih maju dan menawarkan serangkaian opsi penyesuaian yang diperluas. Itu juga menambahkan fungsionalitas trojan, yang berarti bahwa setelah diinstal pada jaringan korban, ia mencari kata sandi yang tersimpan, menyebarkan keylogger, mulai mengekstrak data, dan membuat pintu belakang bagi penyerang untuk memilih petualangan mereka sendiri.

“Malware ini dirancang untuk membangun dirinya sendiri secara berbeda di lingkungan yang berbeda, sehingga tanda tangannya terus berubah dan lebih sulit untuk dideteksi,” kata Callie Churchwell, analis malware di BioBright. “Saya mengujinya hampir 100 kali dan setiap kali itu membangun dirinya sendiri dengan cara yang berbeda dan berkomunikasi secara berbeda. Selain itu, jika tidak dapat berkomunikasi dengan server perintah dan kontrol, ia memiliki kemampuan untuk menjadi lebih mandiri dan mandiri, yang benar-benar tidak terduga.”

Posted By : hk hari ini keluar