Νέες επιθέσεις ransomware που στοχεύουν οργανισμούς στην Ουκρανία που εντοπίστηκαν για πρώτη φορά αυτή τη Δευτέρα, συνδέονται με τη διαβόητη ρωσική στρατιωτική ομάδα απειλών Sandworm.
Η σλοβακική εταιρεία λογισμικού ESET που εντόπισε για πρώτη φορά αυτό το κύμα επιθέσεων, λέει ότι το ransomware που ονόμασαν RansomBoggs βρέθηκε στα δίκτυα πολλών ουκρανικών οργανισμών.
“Ενώ το κακόβουλο λογισμικό που είναι γραμμένο σε .NET είναι νέο, η ανάπτυξή του είναι παρόμοια με προηγούμενες επιθέσεις που αποδίδονται στο Sandworm”, ανέφεραν.
“Υπάρχουν ομοιότητες με προηγούμενες επιθέσεις που πραγματοποιήθηκαν από το Sandworm: ένα σενάριο PowerShell που χρησιμοποιείται για τη διανομή του ransomware .NET από τον ελεγκτή τομέα είναι σχεδόν πανομοιότυπο με αυτό που είδαμε τον περασμένο Απρίλιο κατά τις επιθέσεις Industroyer2 κατά του ενεργειακού τομέα.”
Το σενάριο PowerShell που χρησιμοποιείται για την ανάπτυξη ωφέλιμων φορτίων RansomBoggs στα δίκτυα των θυμάτων είναι γνωστό ως POWERGAP και ήταν επίσης πίσω από την παράδοση του καταστροφικού κακόβουλου λογισμικού CaddyWiper σε επιθέσεις εναντίον ουκρανικών οργανισμών τον Μάρτιο.
Μόλις προωθηθεί στο δίκτυο ενός θύματος, το RansomBoggs κρυπτογραφεί αρχεία χρησιμοποιώντας το AES-256 σε λειτουργία CBC χρησιμοποιώντας ένα τυχαίο κλειδί (δημιουργημένο τυχαία, κρυπτογραφημένο RSA και γραμμένο στο aes.bin) και προσθέτει μια επέκταση .chsch σε όλες τις επεκτάσεις κρυπτογραφημένων αρχείων.
Ανάλογα με την παραλλαγή που χρησιμοποιείται στην επίθεση, το δημόσιο κλειδί RSA μπορεί να κωδικοποιηθεί στο ίδιο το κακόβουλο λογισμικό ή να παρέχεται ως όρισμα.