Компания ESET ― лидер в области информационной безопасности ― предупреждает о новой волне распространения программы-вымогателя RansomBoggs, нацеленной на организации в Украине. Вредоносная программа распространяется через групповую политику Active Directory, что требует от злоумышленников получения права администратора домена.
«Это семейство программ-вымогателей атаковало 5 организаций в Украине. При этом атак RansomBoggs за пределами Украины не зафиксировано, ― комментируют исследователи ESET. ― И хотя угроза владеет функционалом программы-вымогателя, вероятно, злоумышленники используют его как прикрытие, не требуя на самом деле средств за расшифровку данных. Необычным в этой угрозе есть использование темы «Корпорация монстров» в сообщении о выкупе».
Хотя вредоносное программное обеспечение новое, его развертывание похоже на предыдущие атаки группы киберпреступников Sandworm, которая ранее уже нацеливалась на украинских пользователей.
Специалисты ESET сообщили CERT-UA об атаках RansomBoggs, которые впервые были обнаружены 21 ноября 2022 года. В зависимости от версии продукты ESET обнаруживают вредоносную программу RansomBoggs как MSIL/Filecoder.Sullivan.A и MSIL/Filecoder.RansomBoggs.A.
Краткий обзор программы-вымогателя RansomBoggs
Киберпреступники многократно вспоминают фильм Pixar 2001 года ― «Корпорация монстров». В сообщении о выкупе (SullivanDecryptsYourFiles.txt) злоумышленники обращаются от имени главного героя фильма Джеймса Салливана, задача которого ― пугать детей. Кроме того, исполняемый файл называется «Sullivan.<version?>.exe», а также упоминания об этом есть в коде.
На этот раз у программы-вымогателя, написанной на платформе .NET, есть сходство с предыдущими атаками группы Sandworm. В частности, скрипт PowerShell, который использовался для распространения программ-вымогателей с контроллера домена, почти идентичен тому, который был обнаружен в апреле во время атак Industroyer2 на энергетический сектор.
Этот скрипт PowerShell, который CERT-UA назвал POWERGAP, использовался для развертывания вредоносной программы CaddyWiper для уничтожения информации с помощью загрузчика ArguePatch.
Вредоносная программа RansomBoggs генерирует случайный ключ и шифрует файлы с помощью AES-256 в режиме CBC (а не AES-128, как указано в сообщении о выкупе), а также добавляет расширение .chsch. Затем ключ шифруется с помощью RSA и записывается в aes.bin.
В зависимости от версии вредоносного программного обеспечения открытый ключ RSA может быть закодирован в образце угрозы или предоставлен как аргумент.
Украина постоянно остается под угрозой кибератак
В последний раз группа Sandworm оказалась в центре внимания несколько недель назад. Тогда компания Microsoft обнаружила программу-вымогателя Prestige, которую в начале октября использовала группа для атак нескольких логистических компаний в Украине и Польше.
Эти атаки являются одними из многочисленных угроз, с которыми пришлось противостоять украинским организациям только в этом году. К примеру, еще 23 февраля 2022 года, за несколько часов до российского вторжения в Украину телеметрия ESET зафиксировала HermeticWiper в сетях нескольких украинских организаций. На следующий день началась вторая разрушительная атака на украинскую правительственную сеть, на этот раз с помощью IsaacWiper.
Действительно, по крайней мере, с 2014 года Украина испытала ряд разрушительных кибератак со стороны группы киберпреступников Sandworm, в частности это были BlackEnergy, GreyEnergy и первая версия Industroyer. Злоумышленники также ответственны за угрозу NotPetya, которая проникла в корпоративные сети многих компаний в Украине в 2017 году, а затем распространилась по всему миру и вызвала хаос во многих организациях.
В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности, своевременно обновлять программное обеспечение и операционную систему, а также использовать актуальную версию решения для защиты.
Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.
Читайте также:
Рейтинг Интернет-угроз: Украина в пятерке целей программ-вымогателей
Как усилить кибербезопасность компании в условиях постоянных атак ― 6 простых шагов
Украина стала целью разрушительных атак до и во время российского вторжения