Компанія ESET попереджає про нову хвилю поширення програми-вимагача RansomBoggs, яка націлена на організації в Україні. Шкідлива програма поширюється через групову політику Active Directory, що вимагає від зловмисників отримання права адміністратора домену.
Хоча шкідливе програмне забезпечення є новим, його розгортання схоже на попередні атаки групи кіберзлочинців Sandworm, яка раніше вже націлювалась на українських користувачів.
Спеціалісти ESET повідомили CERT-UA про атаки RansomBoggs, які вперше були виявлені 21 листопада 2022 року. Залежно від версії, продукти ESET виявляють шкідливу програму RansomBoggs як MSIL/Filecoder.Sullivan.A та MSIL/Filecoder.RansomBoggs.A.
Програма-вимагач RansomBoggs
Кіберзлочинці багаторазово згадують фільм Pixar 2001 року ― «Корпорація монстрів». У повідомленні про викуп (SullivanDecryptsYourFiles.txt) зловмисники звертаються від імені головного героя фільму Джеймса Саллівана, завдання якого — лякати дітей. Крім того, виконуваний файл має назву «Sullivan.<version?>.exe», а також згадки про це є в коді.
Цього разу у програми-вимагача, написаній на платформі .NET, є схожість із попередніми атаками групи Sandworm. Зокрема скрипт PowerShell, який використовувався для поширення програм-вимагачів із контролера домену, майже ідентичний тому, який був виявлений у квітні під час атак Industroyer2 на енергетичний сектор.
Цей скрипт PowerShell, який CERT-UA назвав POWERGAP, використовувався для розгортання шкідливої програми CaddyWiper для знищення інформації за допомогою завантажувача ArguePatch.
Шкідлива програма RansomBoggs генерує випадковий ключ і шифрує файли за допомогою AES-256 у режимі CBC (а не AES-128, як зазначено в повідомленні про викуп), а також додає розширення .chsch. Потім ключ шифрується за допомогою RSA і записується в aes.bin.
Залежно від версії шкідливого програмного забезпечення відкритий ключ RSA може бути закодований у зразку загрози або наданий як аргумент.
Україна постійно залишається під загрозою кібератак
Востаннє група Sandworm опинилася в центрі уваги кілька тижнів тому. Тоді компанія Microsoft виявила програму-вимагача Prestige, яку на початку жовтня використовувала група для атак кількох логістичних компаній в Україні та Польщі.
Ці атаки є одними з численних загроз, з якими довелося протистояти українським організаціям лише цього року. Наприклад, ще 23 лютого 2022 року, за кілька годин до російського вторгнення в Україну телеметрія ESET зафіксувала HermeticWiper у мережах кількох українських організацій. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу за допомогою IsaacWiper.
Дійсно, принаймні з 2014 року Україна зазнала низки руйнівних кібератак з боку групи кіберзлочинців Sandworm, зокрема це були BlackEnergy, GreyEnergy та перша версія Industroyer. Зловмисники також відповідальні за загрозу NotPetya, яка проникла у корпоративні мережі багатьох компаній в Україні 2017 року, а згодом поширилась у всьому світі та спричинила хаос у багатьох організаціях.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.
