Компанія ESET ― лідер у галузі інформаційної безпеки ― попереджає про нову хвилю поширення програми-вимагача RansomBoggs, яка націлена на організації в Україні. Шкідлива програма поширюється через групову політику Active Directory, що вимагає від зловмисників отримання права адміністратора домену.
«Це сімейство програм-вимагачів атакувало 5 організацій в Україні. При цьому атак RansomBoggs за межами України не зафіксовано, ― коментують дослідники ESET. ― І хоча загроза має функціонал програми-вимагача, ймовірно, зловмисники використовують його як прикриття, не потребуючи насправді коштів за розшифровку даних. Незвичним у цій загрозі є використання теми «Корпорація монстрів» у повідомленні про викуп».
Хоча шкідливе програмне забезпечення є новим, його розгортання схоже на попередні атаки групи кіберзлочинців Sandworm, яка раніше вже націлювалась на українських користувачів.
Спеціалісти ESET повідомили CERT-UA про атаки RansomBoggs, які вперше були виявлені 21 листопада 2022 року. Залежно від версії, продукти ESET виявляють шкідливу програму RansomBoggs як MSIL/Filecoder.Sullivan.A та MSIL/Filecoder.RansomBoggs.A.
Короткий огляд програми-вимагача RansomBoggs
Кіберзлочинці багаторазово згадують фільм Pixar 2001 року ― «Корпорація монстрів». У повідомленні про викуп (SullivanDecryptsYourFiles.txt) зловмисники звертаються від імені головного героя фільму Джеймса Саллівана, завдання якого — лякати дітей. Крім того, виконуваний файл має назву «Sullivan.<version?>.exe», а також згадки про це є в коді.
Цього разу у програми-вимагача, написаній на платформі .NET, є схожість із попередніми атаками групи Sandworm. Зокрема скрипт PowerShell, який використовувався для поширення програм-вимагачів із контролера домену, майже ідентичний тому, який був виявлений у квітні під час атак Industroyer2 на енергетичний сектор.
Цей скрипт PowerShell, який CERT-UA назвав POWERGAP, використовувався для розгортання шкідливої програми CaddyWiper для знищення інформації за допомогою завантажувача ArguePatch.
Шкідлива програма RansomBoggs генерує випадковий ключ і шифрує файли за допомогою AES-256 у режимі CBC (а не AES-128, як зазначено в повідомленні про викуп), а також додає розширення .chsch. Потім ключ шифрується за допомогою RSA і записується в aes.bin.
Залежно від версії шкідливого програмного забезпечення відкритий ключ RSA може бути закодований у зразку загрози або наданий як аргумент.
Україна постійно залишається під загрозою кібератак
Востаннє група Sandworm опинилася в центрі уваги кілька тижнів тому. Тоді компанія Microsoft виявила програму-вимагача Prestige, яку на початку жовтня використовувала група для атак кількох логістичних компаній в Україні та Польщі.
Ці атаки є одними з численних загроз, з якими довелося протистояти українським організаціям лише цього року. Наприклад, ще 23 лютого 2022 року, за кілька годин до російського вторгнення в Україну телеметрія ESET зафіксувала HermeticWiper у мережах кількох українських організацій. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу за допомогою IsaacWiper.
Дійсно, принаймні з 2014 року Україна зазнала низки руйнівних кібератак з боку групи кіберзлочинців Sandworm, зокрема це були BlackEnergy, GreyEnergy та перша версія Industroyer. Зловмисники також відповідальні за загрозу NotPetya, яка проникла у корпоративні мережі багатьох компаній в Україні 2017 року, а згодом поширилась у всьому світі та спричинила хаос у багатьох організаціях.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.
Дослідники ESET продовжують слідкувати за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
Читайте також:
Рейтинг Інтернет-загроз: Україна у п’ятірці цілей програм-вимагачів
Як посилити кібербезпеку компанії в умовах постійних атак ― 6 простих кроків
Україна стала ціллю руйнівних атак до та під час російського вторгнення