Иллюстрация REUTERS

Компания ESET ― лидер в области информационной безопасности ― предупреждает о новой волне распространения программы-вымогателя RansomBoggs, нацеленной на организации в Украине. Вредоносная программа распространяется через групповую политику Active Directory, что требует от злоумышленников получения права администратора домена.

Хотя вредоносное программное обеспечение новое, его развертывание похоже на предыдущие атаки группы киберпреступников Sandworm, которая ранее уже нацеливалась на украинских пользователей.

Специалисты ESET сообщили CERT-UA об атаках RansomBoggs, которые впервые были обнаружены 21 ноября 2022 года. В зависимости от версии продукты ESET обнаруживают вредоносную программу RansomBoggs как MSIL/Filecoder.Sullivan.A и MSIL/Filecoder.RansomBoggs.A.

Видео дня

Краткий обзор программы-вымогателя RansomBoggs

Киберпреступники многократно вспоминают фильм Pixar 2001 года ― "Корпорация монстров". В сообщении о выкупе (SullivanDecryptsYourFiles.txt) злоумышленники обращаются от имени главного героя фильма Джеймса Салливана, задача которого ― пугать детей. Кроме того, исполняемый файл называется "Sullivan.<version?>.exe", а также упоминания об этом есть в коде.

На этот раз у программы-вымогателя, написанной на платформе .NET, есть сходство с предыдущими атаками группы Sandworm. В частности, скрипт PowerShell, который использовался для распространения программ-вымогателей с контроллера домена, почти идентичен тому, который был обнаружен в апреле во время атак Industroyer2 на энергетический сектор.

Этот скрипт PowerShell, который CERT-UA назвал POWERGAP, использовался для развертывания вредоносной программы CaddyWiper для уничтожения информации с помощью загрузчика ArguePatch.

Вредоносная программа RansomBoggs генерирует случайный ключ и шифрует файлы с помощью AES-256 в режиме CBC (а не AES-128, как указано в сообщении о выкупе), а также добавляет расширение .chsch. Затем ключ шифруется с помощью RSA и записывается в aes.bin.

В зависимости от версии вредоносного программного обеспечения открытый ключ RSA может быть закодирован в образце угрозы или предоставлен как аргумент.

Украина постоянно остается под угрозой кибератак

В последний раз группа Sandworm оказалась в центре внимания несколько недель назад. Тогда компания Microsoft обнаружила программу-вымогателя Prestige, которую в начале октября использовала группа для атак нескольких логистических компаний в Украине и Польше.

Эти атаки являются одними из многочисленных угроз, с которыми пришлось противостоять украинским организациям только в этом году. К примеру, еще 23 февраля 2022 года, за несколько часов до российского вторжения в Украину телеметрия ESET зафиксировала HermeticWiper в сетях нескольких украинских организаций. На следующий день началась вторая разрушительная атака на украинскую правительственную сеть, на этот раз с помощью IsaacWiper.

Действительно, по крайней мере, с 2014 года Украина испытала ряд разрушительных кибератак со стороны группы киберпреступников Sandworm, в частности это были BlackEnergy, GreyEnergy и первая версия Industroyer. Злоумышленники также ответственны за угрозу NotPetya, которая проникла в корпоративные сети многих компаний в Украине в 2017 году, а затем распространилась по всему миру и вызвала хаос во многих организациях.

В связи с опасностью дальнейших атак на украинских пользователей специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности, своевременно обновлять программное обеспечение и операционную систему, а также использовать актуальную версию решения для защиты.

Исследователи ESET продолжают следить за ситуацией в киберпространстве с целью защиты организаций и своевременного реагирования на инциденты кибербезопасности. В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

О компании:

ESET — эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.