Україна опинилася під новим натиском програм-вимагачів, які віддзеркалюють попередні вторгнення, приписувані російському державному хакерському угрупованню Sandworm.
Словацька компанія з кібербезпеки ESET, яка назвала новий штам програм-вимагачів RansomBoggs , заявила, що атаки на кілька українських організацій вперше були виявлені 21 листопада 2022 року.
«Хоча зловмисне програмне забезпечення, написане в .NET, є новим, його розгортання схоже на попередні атаки, які приписують Sandworm», — заявила компанія в серії твітів у п’ятницю.
On November 21st #ESETResearch detected and alerted @_CERT_UA of a wave of ransomware we named #RansomBoggs, deployed in multiple organizations in Ukraine🇺🇦. While the malware written in .NET is new, its deployment is similar to previous attacks attributed to #Sandworm. 1/9 pic.twitter.com/WyxzCZSz84
— ESET research (@ESETresearch) November 25, 2022
Група Sandworm, яку Microsoft відслідковує як Iridium, була причетна до низки атак, спрямованих на транспортні та логістичні сектори в Україні та Польщі за допомогою іншого штаму програм-вимагачів під назвою Prestige у жовтні 2022 року.
Повідомляється, що діяльність RansomBoggs використовує сценарій PowerShell для розповсюдження програм-вимагачів, причому перший «майже ідентичний» тому, який використовувався в атаках зловмисного програмного забезпечення Industroyer2 , про які стало відомо в квітні.
За даними Групи реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA), сценарій PowerShell під назвою POWERGAP використовувався для розгортання зловмисного програмного забезпечення CaddyWiper для очищення даних за допомогою завантажувача під назвою ArguePatch (він же AprilAxe).
Аналіз нової програми-вимагача ESET показує, що вона створює випадково згенерований ключ, шифрує файли за допомогою AES-256 у режимі CBC і додає розширення файлу «.chsch».
Sandworm, елітна ворожа хакерська група російського військового розвідувального управління ГРУ, має сумнозвісний досвід атаки на критичну інфраструктуру протягом багатьох років.
Зловмисника пов’язують із кібератаками NotPetya на лікарні та медичні установи у 2017 році та руйнівними атаками на українську електромережу у 2015 та 2016 роках.
Джерело: HackerNews