Grup Sandworm Gunakan Malware Data Wiper untuk Mengacaukan Sektor Gandum Ukraina

Kelompok peretas Sandworm, yang dikenal sebagai unit siber dukungan negara Rusia, kembali melancarkan serangan siber destruktif terhadap Ukraina. Menurut laporan terbaru ESET, kelompok ini menggunakan beberapa varian malware data wiper untuk menyerang sektor pemerintahan, pendidikan, energi, logistik, dan terutama industri gandum, yang menjadi sumber pendapatan utama Ukraina.

💣 Serangan Data Wiper Menargetkan Ekonomi Vital

ESET mencatat bahwa serangan besar terjadi pada Juni dan September 2025, sebagai bagian dari kampanye berkelanjutan Sandworm (juga dikenal sebagai APT44) yang menargetkan infrastruktur penting Ukraina.

Berbeda dengan ransomware yang mengenkripsi data untuk tebusan, malware wiper bertujuan murni untuk menghancurkan data dengan cara menghapus atau merusak file, partisi disk, dan master boot record agar tidak bisa dipulihkan. Dampaknya sangat parah — sistem korban bisa lumpuh total dan memerlukan waktu lama untuk pulih.

“Menargetkan sektor gandum kemungkinan besar mencerminkan upaya untuk melemahkan ekonomi perang Ukraina, mengingat ekspor gandum merupakan salah satu sumber pendapatan utama negara,” tulis ESET dalam laporannya.

⚙️ Detail Serangan dan Malware yang Digunakan

Dalam periode April hingga September 2025, Sandworm dilaporkan menggunakan beberapa varian wiper baru dan lama, termasuk:

• ZeroLot dan Sting, yang digunakan pada April untuk menyerang universitas di Ukraina.
  • Malware Sting dijalankan melalui Windows scheduled task yang dinamai “goulash” — terinspirasi dari masakan khas Hungaria.
• Beberapa wiper lain yang digunakan pada Juni dan September ditujukan khusus ke organisasi pemerintah dan perusahaan logistik serta produksi gandum.

Selain itu, aktor ancaman UAC-0099 diketahui memberikan akses awal ke jaringan korban, sebelum diserahkan ke APT44 untuk menjalankan malware penghancur. UAC-0099 sendiri telah aktif sejak 2023 dan fokus menyerang organisasi Ukraina.

🌍 Aktivitas Siber yang Lebih Luas

ESET juga mendeteksi aktivitas dari kelompok yang berafiliasi dengan Iran, menargetkan sektor energi dan rekayasa di Israel. Mereka menggunakan alat berbasis Go yang diadaptasi dari wiper sumber terbuka — menunjukkan bahwa tak hanya Rusia, negara lain juga mengadopsi taktik serupa untuk sabotase digital.

🛡️ Langkah Perlindungan dan Mitigasi

Untuk melindungi sistem dari serangan seperti ini, ESET merekomendasikan langkah-langkah berikut:

• Cadangkan data penting secara offline, terpisah dari jaringan utama.
• Perbarui seluruh perangkat lunak dan sistem operasi secara rutin.
• Gunakan sistem deteksi ancaman (EDR/XDR) dan intrusion prevention system (IPS) untuk memblokir aktivitas berbahaya.
• Batasi akses administratif dan terapkan prinsip least privilege pada semua akun pengguna.

Meskipun Sandworm kini juga aktif dalam operasi spionase, laporan ini menegaskan bahwa serangan penghancuran data masih menjadi strategi utama Rusia untuk melemahkan kemampuan dan stabilitas ekonomi Ukraina.

Sumber: ESET