Το νέο ransomware RansomBoggs που σπέρνει τον όλεθρο σε συστήματα στην Ουκρανία και εντοπίστηκε αυτή την εβδομάδα συνδέεται με τη ρωσική στρατιωτική ομάδα απειλών Sandworm.
Δείτε επίσης: UK: Απαγορεύει την χρήση των κινεζικών καμερών παρακολούθησης Hikvision σε govt sites
Σύμφωνα με τη σλοβακική εταιρεία λογισμικού ESET, το ransomware με την ονομασία RansomBoggs ανακαλύφθηκε σε πολλαπλά δίκτυα ουκρανικών οργανισμών.
Τα Ερευνητικά Εργαστήρια της ESET δήλωσαν ότι, παρόλο που το κακόβουλο λογισμικό είναι νέο, η ανάπτυξή του αντικατοπτρίζει προηγούμενες επιθέσεις που συνδέονται με το Sandworm.
Η επίθεση χρησιμοποίησε ένα script PowerShell για τη διανομή του .NET ransomware από τον ελεγκτή τομέα, το οποίο είναι σχεδόν πανομοιότυπο με αυτό που παρατηρήθηκε τον περασμένο Απρίλιο κατά τη διάρκεια των επιθέσεων Industroyer2 κατά του ενεργειακού τομέα.
Το PowerShell script πίσω από τα RansomBoggs payloads είναι γνωστό ως POWERGAP. Τον Μάρτιο, το ίδιο script χρησιμοποιήθηκε για την παράδοση του καταστροφικού κακόβουλου λογισμικού CaddyWiper σε επιθέσεις εναντίον ουκρανικών οργανισμών.
Δείτε επίσης: Twitter: Δεδομένα εκατομμυρίων χρηστών διατίθενται δωρεάν
Μόλις το RansomBoggs διεισδύσει στο δίκτυο του θύματος, κωδικοποιεί τα αρχεία χρησιμοποιώντας AES-256 σε λειτουργία CBC με ένα τυχαίο κλειδί (που δημιουργείται τυχαία, κρυπτογραφείται με RSA και γράφεται στο aes.bin). Επιπλέον, κάθε κωδικοποιημένο αρχείο θα έχει την επέκταση .chsch προσαρτημένη στην αρχική του επέκταση.
Το δημόσιο κλειδί RSA μπορεί να είναι εγγεγραμμένο στο ίδιο το κακόβουλο λογισμικό ή να παρέχεται ως όρισμα, ανάλογα με την παραλλαγή που χρησιμοποιείται στην επίθεση.
Το ransomware κάνει drop και σημειώματα λύτρων που υποδύονται τον James P. Sullivan, τον κύριο χαρακτήρα της ταινίας Monsters Inc, με αναφορές στον κώδικα της ταινίας που βρέθηκαν μέσα στο κακόβουλο λογισμικό.
Νωρίτερα αυτό το μήνα, η Microsoft συνέδεσε την ομάδα κυβερνοκατασκοπείας Sandworm (παρακολουθείται από την εταιρεία ως IRIDIUM) με τις επιθέσεις ransomware Prestige. Οι επιθέσεις αυτές έχουν ως στόχο εταιρείες μεταφορών και logistics στην Ουκρανία και την Πολωνία από τον Οκτώβριο.
Τον Φεβρουάριο, ένα security advisory που εκδόθηκε από κοινού από τις υπηρεσίες κυβερνοασφάλειας των ΗΠΑ και του Ηνωμένου Βασιλείου απέδωσε και το δίκτυο Cyclops Blink botnet στη ρωσική στρατιωτική απειλητική ομάδα, προτού αποτραπεί η εκ νέου χρήση του από τους χάκερ.
Η Sandworm είναι μια ελίτ ομάδα Ρώσων χάκερ που δραστηριοποιείται εδώ και τουλάχιστον δύο δεκαετίες. Πιστεύεται ότι ανήκουν στη Unit 74455 του Κύριου Κέντρου Ειδικών Τεχνολογιών (GTsST) της ρωσικής GRU.
Δείτε επίσης: Έκθεση: Πωλούνται δεδομένα εκατομμυρίων χρηστών WhatsApp
Έχουν συνδεθεί στο παρελθόν με επιθέσεις που οδήγησαν στις επιθέσεις KillDisk wiper με στόχο τράπεζες στην Ουκρανία. Η Sandworm πιστεύεται επίσης ότι βρίσκεται πίσω από την ανάπτυξη του ransomware NotPetya, το οποίο προκάλεσε ζημιές δισεκατομμυρίων δολαρίων από τον Ιούνιο του 2017.
Πηγή πληροφοριών: bleepingcomputer.com
