Кілька українських організацій стали мішенню російської програми-вимагача RansomBoggs
Атаки програм-вимагачів потрапили в Україну, відображаючи попередні вторгнення, приписувані групі національних держав Sandworm, що базується в Росії.
Новий штам програм-вимагачів RansomBoggs назвала словацька компанія з кібербезпеки ESET. За їх словами, атаки на кілька українських організацій вперше були виявлені 21 листопада 2022 року.
«Хоча зловмисне програмне забезпечення, написане в .NET, є новим, його розгортання схоже на попередні атаки, які приписують Sandworm», — заявила компанія в серії твітів у п’ятницю.
Ця розробка з’явилася, коли актор The Sandworm, який Microsoft відслідковував як Iridium, вказав на низку атак, спрямованих на транспортні та логістичні сектори в Україні та Польщі за допомогою іншого штаму програми-вимагача під назвою Prestige у жовтні 2022 року.
Кажуть, що сценарій PowerShell використовується в діяльності RansomBoggs. Він використовується з метою розповсюдження програм-вимагачів, причому перше для того, що використовується в атаках зловмисного програмного забезпечення Industroyer2, про які стало відомо в квітні.
Аналіз нової програми-вимагача ESET показує, що вона генерує випадково згенерований ключ і шифрує файли за допомогою AES-256 у режимі CBC і додає розширення файлу «.chsch».
Sandworm, елітна ворожа хакерська група російського військового розвідувального управління ГРУ, має тривалий досвід нападів на стіни кібербезпеки.
Зловмисника пов’язують із кібератаками NotPetya на лікарні та медичні установи у 2017 році та руйнівними атаками на українську електромережу у 2015 та 2016 роках.