Nowe ataki ransomware na organizacje w Ukrainie

Nowe ataki ransomware na organizacje w Ukrainie przeprowadzone przez Rosjan, itweek.pl
Nowe ataki ransomware na organizacje w Ukrainie przeprowadzone przez Rosjan, itweek.pl

W poniedziałek po raz pierwszy wykryto nowe ataki ransomware wymierzone w organizacje w Ukrainie. Zostały one powiązane z rosyjską grupą militarną Sandworm. ESET – słowacka firma programistyczna, jako pierwsza zauważyła falę ataków, a jej przedstawiciele twierdzą, że ransomware – nazwany przez nich RansomBoggs, został znaleziony w wielu sieciach ukraińskich organizacji.

Chociaż złośliwe oprogramowanie napisane w .NET jest nowe, jego wdrażanie jest podobne do poprzednich ataków przypisywanych Sandwormowi. Istnieją podobieństwa z poprzednimi atakami przeprowadzonymi przez Sandworm: skrypt PowerShell używany do dystrybucji ransomware .NET z kontrolera domeny jest prawie identyczny z tym, który widziano w kwietniu podczas ataków Industroyer2 na sektor energetyczny

Zespół badawczy firmy ESET

Ten sam skrypt PowerShell, który użyty został do RansomBoggs jest również znany jako PowerGap. Był odpowiedzialny za dostarczenie destrukcyjnego oprogramowania CaddyWiper podczas ataków przeprowadzanych na ukraińskie organizacje w marcu tego roku.

Jak działa RansomBoggs – nowy atak ransomware

Jak donosi zespół badawczy ESET, po przejściu przez sieć ofiary, RansomBoggs przeprowadza atak i szyfruje pliki przy użyciu AES-256 w trybie CBC przy użyciu losowego klucza (generowany losowo, zaszyfrowanego RSA i zapisywanego w aes.bin) oraz dołącza rozszerzenie .chsch do wszystkich rozszerzeń zaszyfrowanych plików. W zależności od wariantu użytego podczas ataku ransomware, klucz publiczny RSA może być zakodowany na stałe w samym złośliwym oprogramowaniu. W przypadku tego ataku, w zaszyfrowanych systemach oprogramowanie wyrzuca również żądanie okupu. Atakujący podszywa się pod Jamesa P. Sullivana – główny bohater filmu Monsters Inc.

Sandworm atakuje również w Polsce

Na początku listopada tego roku Microsoft powiązał również cyberszpiegowską grupę Sandworm z atakami ransomware Prestige wymierzonymi w m.in. firmy transportowe i logistyczne w Ukrainie i Polsce. Te ataki miały miejsce w okresie od października. Tego typu ataki mogą sygnalizować zwiększone ryzyko dla organizacji bezpośrednio zaangażowanych w logistykę związaną z pomocą wojskową lub humanitarną. Jak tłumaczą eksperci z Microsoft Threat Intelligence Center (MSTIC) – w szerszym ujęciu może to stanowić zwiększone ryzyko dla organizacji w Europie Wschodniej, które państwo rosyjskie może uznać za te, które udzielają wsparcia związanego z wojną.

Kto stoi za Sandworm?

Sandworm jest to grupa elitarnych rosyjskich hakerów, którzy działają od co najmniej 20 lat. Uważa się ją za część Jednostki 74455 Głównego Centrum Technologii Specjalnych związanego z GRU (rosyjski Główny Zarząd Wywiadowczy). Grupa Sandworm była łączona z atakami typu KillDisk na banki w Ukrainie, oraz stała za atakami na infrastrukturę energetyczną w 2015 i 2016 roku. Uważa się także, że Sandworm opracował oprogramowanie ransomware NotPetya, które od początku czerwca 2017 roku spowodowało miliardy szkód.