Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengeluarkan peringatan mengenai upaya penipuan siber yang dilakukan oleh aktor ancaman yang tidak dikenal. Mereka menyamar sebagai agen keamanan siber dengan mengirimkan permintaan koneksi AnyDesk palsu yang mengklaim akan melakukan audit untuk menilai “tingkat keamanan” sistem target. CERT-UA menekankan bahwa organisasi harus waspada terhadap upaya rekayasa sosial semacam ini yang memanfaatkan kepercayaan pengguna.
Penting untuk dicatat bahwa CERT-UA memang dapat menggunakan perangkat lunak akses jarak jauh seperti AnyDesk dalam kondisi tertentu. Namun, tindakan tersebut hanya dilakukan setelah ada kesepakatan sebelumnya dengan pemilik objek pertahanan siber melalui saluran komunikasi resmi. Agar serangan ini berhasil, perangkat lunak AnyDesk harus sudah terpasang dan berfungsi di komputer target, dan penyerang harus memiliki pengenal AnyDesk target, yang mungkin diperoleh melalui metode lain.
Untuk mengurangi risiko serangan ini, disarankan agar program akses jarak jauh hanya diaktifkan selama penggunaannya dan akses tersebut dikoordinasikan melalui saluran komunikasi resmi. Selain itu, CERT-UA melaporkan bahwa pada tahun 2024, pusat respons insiden mereka mendeteksi lebih dari 1.042 insiden, dengan kode berbahaya dan upaya intrusi menyumbang lebih dari 75% dari semua kejadian. Klaster ancaman siber paling aktif termasuk UAC-0010 (juga dikenal sebagai Aqua Blizzard dan Gamaredon), UAC-0050, dan UAC-0006, yang masing-masing terlibat dalam 277, 99, dan 174 insiden.
Perkembangan ini juga diikuti dengan penemuan 24 domain .shop yang sebelumnya tidak dilaporkan, kemungkinan terkait dengan kelompok peretas pro-Rusia yang dikenal sebagai GhostWriter (alias TA445, UAC-0057, dan UNC1151). Analisis yang dilakukan oleh peneliti keamanan Will Thomas (@BushidoToken) menemukan bahwa domain yang digunakan dalam kampanye ini memiliki kesamaan dalam penggunaan generic top-level domain (gTLD), registrar PublicDomainsRegistry, dan server nama Cloudflare.
Seiring dengan berjalannya perang Rusia-Ukraina yang mendekati tahun ketiga, serangan siber juga tercatat menargetkan Rusia dengan tujuan mencuri data sensitif dan mengganggu operasi bisnis melalui penyebaran ransomware. Minggu lalu, perusahaan keamanan siber F.A.C.C.T. mengaitkan aktor Sticky Werewolf dengan kampanye spear-phishing yang ditujukan terhadap perusahaan riset dan produksi Rusia untuk mengirimkan trojan akses jarak jauh yang dikenal sebagai Ozone, yang mampu memberikan akses jarak jauh ke sistem Windows yang terinfeksi.