Perusahaan keamanan ESET membantah laporan bahwa penyerang siber menyusupi platformnya dan menggunakannya untuk menargetkan pelanggan di Israel dengan malware wiper yang berbahaya. Namun, disebutkan bahwa mitranya di sana, Comsecure, terkena dampaknya.
“Kami mengetahui adanya insiden keamanan yang mempengaruhi perusahaan mitra kami di Israel minggu lalu,” perusahaan itu mengakui di platform media sosial X. “Berdasarkan penyelidikan awal kami, kampanye email berbahaya terbatas diblokir dalam waktu sepuluh menit. Teknologi ESET memblokir ancaman tersebut dan pelanggan kami aman. ESET tidak disusupi dan bekerja sama dengan mitranya untuk menyelidiki lebih lanjut dan kami terus memantau situasinya.”
Peneliti keamanan Kevin Beaumont (alias Gossi si Anjing) memberikan tanggapan setelah menulis blog tentang email berbahaya itu seorang pengguna ESET memposting di forum pengguna ESET. Email tersebut ditandai sebagai berbahaya, dengan subjek, “Penyerang yang Didukung Pemerintah Mungkin Mencoba Membobol Perangkat Anda!” Ini konon berasal dari tim ESET, menawarkan pertahanan keamanan ekstra dalam menghadapi serangan yang sedang berlangsung:
Sumber: forum pengguna ESET.
Email tersebut memiliki lampiran .ZIP yang, jika dibuka, akan dibongkar a malware penghapus yang merusak yang memiliki kemiripan dengan yang digunakan oleh Kelompok ancaman Handalamenurut orang yang menandai email untuk Beaumont. Handala, dinamakan demikian karena karakter kartun politik yang telah menjadi personifikasi identitas nasional rakyat Palestina, dikenal menargetkan organisasi-organisasi Israel dengan wiper penghancur file setelah serangan Hamas 7 Oktober dan perang yang diakibatkannya.
Beaumont mencatat, “Saya berhasil mendapatkan email tersebut lolos pemeriksaan DKIM dan SPF karena berasal dari toko ESET,” katanya dalam postingan blog. “Selain itu, tautannya memang ke backend.store.eset.co.il — milik ESET Israel.”
Hal ini membuat Beaumont menyimpulkan melalui Mastodon, “ESET Israel pasti telah disusupi, ini adalah ransomware palsu yang berkomunikasi dengan server organisasi berita Israel untuk alasan apa pun.”
ESET kini dengan tegas membantah anggapan tersebut, jadi asumsinya adalah para penyerang siber menggunakan semacam MO untuk menyiasati tindakan anti-spoofing untuk email dan tautan .ZIP. ESET tidak segera membalas permintaan komentar dari Dark Reading untuk informasi lebih lanjut tentang peran Comsecure dalam insiden tersebut dan rutinitas serangan.
Kampanye ini sekarang diblokir untuk pelanggan ESET.
