Компанія ESET ― лідер у галузі інформаційної безпеки ― попереджає про нову хвилю поширення програми-вимагача RansomBoggs, яка націлена на організації в Україні. Шкідлива програма поширюється через групову політику Active Directory, що вимагає від зловмисників отримання права адміністратора домену.
Хоча шкідливе програмне забезпечення є новим, його розгортання схоже на попередні атаки групи кіберзлочинців Sandworm, яка раніше вже націлювалась на українських користувачів.
Спеціалісти ESET повідомили CERT-UA про атаки RansomBoggs, які вперше були виявлені 21 листопада 2022 року. Залежно від версії, продукти ESET виявляють шкідливу програму RansomBoggs як MSIL/Filecoder.Sullivan.A та MSIL/Filecoder.RansomBoggs.A.
Короткий огляд програми-вимагача RansomBoggs
Кіберзлочинці багаторазово згадують фільм Pixar 2001 року ― "Корпорація монстрів". У повідомленні про викуп (SullivanDecryptsYourFiles.txt) зловмисники звертаються від імені головного героя фільму Джеймса Саллівана, завдання якого — лякати дітей. Крім того, виконуваний файл має назву "Sullivan.<version?>.exe", а також згадки про це є в коді.
Цього разу у програми-вимагача, написаній на платформі .NET, є схожість із попередніми атаками групи Sandworm. Зокрема скрипт PowerShell, який використовувався для поширення програм-вимагачів із контролера домену, майже ідентичний тому, який був виявлений у квітні під час атак Industroyer2 на енергетичний сектор.
Цей скрипт PowerShell, який CERT-UA назвав POWERGAP, використовувався для розгортання шкідливої програми CaddyWiper для знищення інформації за допомогою завантажувача ArguePatch.
Шкідлива програма RansomBoggs генерує випадковий ключ і шифрує файли за допомогою AES-256 у режимі CBC (а не AES-128, як зазначено в повідомленні про викуп), а також додає розширення .chsch. Потім ключ шифрується за допомогою RSA і записується в aes.bin.
Залежно від версії шкідливого програмного забезпечення відкритий ключ RSA може бути закодований у зразку загрози або наданий як аргумент.
Україна постійно залишається під загрозою кібератак
Востаннє група Sandworm опинилася в центрі уваги кілька тижнів тому. Тоді компанія Microsoft виявила програму-вимагача Prestige, яку на початку жовтня використовувала група для атак кількох логістичних компаній в Україні та Польщі.
Ці атаки є одними з численних загроз, з якими довелося протистояти українським організаціям лише цього року. Наприклад, ще 23 лютого 2022 року, за кілька годин до російського вторгнення в Україну телеметрія ESET зафіксувала HermeticWiper у мережах кількох українських організацій. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу за допомогою IsaacWiper.
Дійсно, принаймні з 2014 року Україна зазнала низки руйнівних кібератак з боку групи кіберзлочинців Sandworm, зокрема це були BlackEnergy, GreyEnergy та перша версія Industroyer. Зловмисники також відповідальні за загрозу NotPetya, яка проникла у корпоративні мережі багатьох компаній в Україні 2017 року, а згодом поширилась у всьому світі та спричинила хаос у багатьох організаціях.
У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.
Дослідники ESET продовжують слідкувати за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.
Про компанію:
ESET — експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.
