Nowe ataki ransomware na organizacje w Ukrainie

Nowe ataki ransomware na organizacje w Ukrainie przeprowadzone przez Rosjan, itweek.pl
Nowe ataki ransomware na organizacje w Ukrainie przeprowadzone przez Rosjan, itweek.pl
Reklama:

W poniedzia艂ek po raz pierwszy wykryto nowe ataki ransomware wymierzone w organizacje w Ukrainie. Zosta艂y one powi膮zane z rosyjsk膮 grup膮 militarn膮 Sandworm. ESET – s艂owacka firma programistyczna, jako pierwsza zauwa偶y艂a fal臋 atak贸w, a jej przedstawiciele twierdz膮, 偶e ransomware – nazwany przez nich RansomBoggs, zosta艂 znaleziony w wielu sieciach ukrai艅skich organizacji.

Chocia偶 z艂o艣liwe oprogramowanie napisane w .NET jest nowe, jego wdra偶anie jest podobne do poprzednich atak贸w przypisywanych Sandwormowi. Istniej膮 podobie艅stwa z poprzednimi atakami przeprowadzonymi przez Sandworm: skrypt PowerShell u偶ywany do dystrybucji ransomware .NET z kontrolera domeny jest prawie identyczny z tym, kt贸ry widziano w kwietniu podczas atak贸w Industroyer2 na sektor energetyczny

Zesp贸艂 badawczy firmy ESET

Ten sam skrypt PowerShell, kt贸ry u偶yty zosta艂 do RansomBoggs jest r贸wnie偶 znany jako PowerGap. By艂 odpowiedzialny za dostarczenie destrukcyjnego oprogramowania CaddyWiper podczas atak贸w przeprowadzanych na ukrai艅skie organizacje w marcu tego roku.

Jak dzia艂a RansomBoggs – nowy atak ransomware

Jak donosi zesp贸艂 badawczy ESET, po przej艣ciu przez sie膰 ofiary, RansomBoggs przeprowadza atak i szyfruje pliki przy u偶yciu AES-256 w trybie CBC przy u偶yciu losowego klucza (generowany losowo, zaszyfrowanego RSA i zapisywanego w aes.bin) oraz do艂膮cza rozszerzenie .chsch do wszystkich rozszerze艅 zaszyfrowanych plik贸w. W zale偶no艣ci od wariantu u偶ytego podczas ataku ransomware, klucz publiczny RSA mo偶e by膰 zakodowany na sta艂e w samym z艂o艣liwym oprogramowaniu. W przypadku tego ataku, w zaszyfrowanych systemach oprogramowanie wyrzuca r贸wnie偶 偶膮danie okupu. Atakuj膮cy podszywa si臋 pod Jamesa P. Sullivana – g艂贸wny bohater filmu Monsters Inc.

Sandworm atakuje r贸wnie偶 w Polsce

Na pocz膮tku listopada tego roku Microsoft powi膮za艂 r贸wnie偶 cyberszpiegowsk膮 grup臋 Sandworm z atakami ransomware Prestige wymierzonymi w m.in. firmy transportowe i logistyczne w Ukrainie i Polsce. Te ataki mia艂y miejsce w okresie od pa藕dziernika. Tego typu ataki mog膮 sygnalizowa膰 zwi臋kszone ryzyko dla organizacji bezpo艣rednio zaanga偶owanych w logistyk臋 zwi膮zan膮 z pomoc膮 wojskow膮 lub humanitarn膮. Jak t艂umacz膮 eksperci z Microsoft Threat Intelligence Center (MSTIC) – w szerszym uj臋ciu mo偶e to stanowi膰 zwi臋kszone ryzyko dla organizacji w Europie Wschodniej, kt贸re pa艅stwo rosyjskie mo偶e uzna膰 za te, kt贸re udzielaj膮 wsparcia zwi膮zanego z wojn膮.

Kto stoi za Sandworm?

Sandworm jest to grupa elitarnych rosyjskich haker贸w, kt贸rzy dzia艂aj膮 od co najmniej 20 lat. Uwa偶a si臋 j膮 za cz臋艣膰 Jednostki 74455 G艂贸wnego Centrum Technologii Specjalnych zwi膮zanego z GRU (rosyjski G艂贸wny Zarz膮d Wywiadowczy). Grupa Sandworm by艂a 艂膮czona z atakami typu KillDisk na banki w Ukrainie, oraz sta艂a za atakami na infrastruktur臋 energetyczn膮 w 2015 i 2016 roku. Uwa偶a si臋 tak偶e, 偶e Sandworm opracowa艂 oprogramowanie ransomware NotPetya, kt贸re od pocz膮tku czerwca 2017 roku spowodowa艂o miliardy szk贸d.

Reklama: