Команда исследователей ESET обнаружила новую волну атак вымогателей, нацеленных на несколько организаций в Украине и несущих в себе отпечатки других кампаний, ранее развернутых группой Sandworm.
Хотя сам вымогатель, названный ESET RansomBoggs и написанный на .NET, является новым, особенно способ его развертывания очень похож на некоторые прошлые атаки, приписываемые этому печально известному злоумышленнику.
ESET уведомила украинский CERT (Computer Emergency Response Team) об атаках RansomBoggs, которые впервые были замечены 21 ноября. В зависимости от варианта, RansomBoggs обнаруживается продуктами ESET как MSIL/Filecoder.Sullivan.A и MSIL/Filecoder.RansomBoggs.A.
RansomBoggs в двух словах
Записка с требованием выкупа от RansomBoggs
В записке с требованием выкупа, которую вы видите выше (SullivanDecryptsYourFiles.txt), авторы RansomBoggs делают несколько отсылок к фильму «Корпорация монстров», в том числе выдавая себя за Джеймса П. Салливана, главного героя фильма.
После запуска новый вымогатель «генерирует случайный ключ и шифрует файлы, используя AES-256 в режиме CBC», а не ключ AES длиной 128 бит, упомянутый в записке с требованием выкупа. Затем он добавляет расширение .chsch к зашифрованным файлам.
«Затем ключ шифруется с помощью RSA и записывается в aes.bin», — сообщили исследователи ESET. В зависимости от варианта, открытый ключ RSA либо жестко закодирован в самом образце вредоносного ПО, либо предоставляется в качестве аргумента.
Что касается сходства с другими атаками Sandworm, то скрипт PowerShell, используемый для распространения RansomBoggs с контроллера домена, почти идентичен тому, который использовался в атаках Industroyer2 против энергетического сектора Украины в апреле этого года. Тот же скрипт использовался для доставки вредоносного ПО для стирания данных под названием CaddyWiper, которое использовало загрузчик ArguePatch и поразило несколько десятков систем в ограниченном количестве украинских организаций в марте.
Украина под огнем
Sandworm имеет долгую историю участия в некоторых из самых разрушительных кибератак в мире за последнее десятилетие. Группа снова оказалась в центре внимания всего несколько недель назад, когда Microsoft обвинила ее в создании программы-вымогателя под названием «Prestige», которая в начале октября поразила несколько логистических компаний в Украине и Польше.
Упомянутые выше атаки ни в коем случае не дают полной картины различных угроз, с которыми пришлось столкнуться высокопоставленным украинским организациям только в этом году. Например, еще 23 февраля, всего за несколько часов до вторжения России в Украину, телеметрия ESET зафиксировала HermeticWiper в сетях нескольких украинских организаций. На следующий день началась вторая разрушительная атака на украинскую правительственную сеть, на этот раз с использованием IsaacWiper.
Действительно, с 2014 года Украина находится под ударом ряда крайне разрушительных кибератак со стороны Sandworm, включая BlackEnergy, GreyEnergy и первую итерацию Industroyer. Группа также стояла за атакой NotPetya, которая охватила многие корпоративные сети в Украине в июне 2017 года, а затем быстро распространилась по всему миру, сея хаос во многих организациях.