Kampanye Cryptojacking oleh Librarian Ghouls
Kumpulan peretas yang dikenal sebagai Librarian Ghouls telah berhasil mengkompromikan ratusan perangkat di Rusia dan menggunakannya untuk menambang cryptocurrency dalam sebuah kasus yang jelas merupakan cryptojacking. Menurut laporan perusahaan keamanan siber Kaspersky, kelompok ini, yang juga dikenal dengan nama Rare Werewolf, memperoleh akses ke sistem melalui email phishing yang terinfeksi malware. Email tersebut menyamar sebagai pesan dari organisasi yang sah, dengan tampilan seperti dokumen resmi atau perintah pembayaran.
Taktik dan Metode Peretasan
Setelah berhasil menginfeksi komputer dengan malware, para peretas melakukan pemeriksaan informasi perangkat dan membangun koneksi jarak jauh sehingga dapat menonaktifkan sistem keamanan, seperti Windows Defender. Perangkat yang terinfeksi diprogram untuk menyala pada pukul 01.00 dan mati pada pukul 05.00, memanfaatkan waktu tersebut untuk memperkuat akses jarak jauh yang tidak sah serta mencuri kredensial login. Menurut Kaspersky,
“Kami menilai bahwa para penyerang menggunakan teknik ini untuk menutupi jejak mereka sehingga pengguna tetap tidak menyadari bahwa perangkat mereka telah diretas.”
Setelah mendapatkan akses, para peretas mencuri kredensial login dan mengumpulkan informasi terkait RAM yang tersedia, inti CPU, serta GPU perangkat untuk dapat mengonfigurasi penambang cryptocurrency secara optimal sebelum mulai bekerja. Selama proses penambangan, kelompok ini mempertahankan koneksi ke kolam penambangan dengan mengirim permintaan setiap 60 detik.
Target dan Dampak
Kaspersky mengamati bahwa para penyerang terus menyempurnakan taktik mereka, yang mencakup tidak hanya eksfiltrasi data tetapi juga penerapan alat akses jarak jauh dan penggunaan situs phishing untuk mengkompromikan akun-email. Kampanye cryptojacking ini telah berlangsung sejak 2024 dan sebagian besar mempengaruhi ratusan pengguna di Rusia, khususnya di perusahaan-perusahaan industri dan sekolah teknik, dengan tambahan korban yang dilaporkan di Belarus dan Kazakhstan.
Aspek Bahasa dan Potensi Motivasi
Meskipun asal-usul kelompok ini belum dapat dipastikan, Kaspersky menyebutkan bahwa email phishing yang digunakan dalam kampanye ini “disusun dalam bahasa Rusia dan mencakup arsip dengan nama file dalam bahasa Rusia, bersama dengan dokumen penipuan berbahasa Rusia.” Hal ini menunjukkan bahwa sasaran utama kampanye kemungkinan besar adalah pengguna di Rusia atau yang berbahasa Rusia.
Kaspersky berspekulasi bahwa Librarian Ghouls mungkin merupakan kelompok hacktivis yang menggunakan peretasan sebagai bentuk pembangkangan sipil untuk mendukung agenda politik mereka. Mereka cenderung menggunakan perangkat lunak pihak ketiga yang sah sebagai bagian dari taktik mereka, bukannya mengembangkan biner berbahaya mereka sendiri. Meskipun belum diketahui berapa lama kelompok ini telah aktif, perusahaan keamanan siber Rusia lainnya, BI.ZONE, menyatakan dalam laporan tertanggal 23 November bahwa Rare Werewolf telah ada setidaknya sejak 2019.
