| +11 голос |
|
Компанія Eset повідомляє про нову хвилю поширення програми-вимагача RansomBoggs, яка націлена на організації в Україні. Шкідлива програма поширюється через групову політику Active Directory, що вимагає від зловмисників отримання права адміністратора домену. Хоча шкідливе програмне забезпечення є новим, його розгортання схоже на попередні атаки групи кіберзлочинців Sandworm, яка раніше вже націлювалась на українських користувачів.
Спеціалісти повідомили CERT-UA про атаки RansomBoggs, які вперше були виявлені 21 листопада. Залежно від версії, продукти Eset виявляють шкідливу програму RansomBoggs як MSIL/Filecoder.Sullivan.A та MSIL/Filecoder.RansomBoggs.A.
Кіберзлочинці багаторазово згадують фільм Pixar «Корпорація монстрів». У повідомленні про викуп (SullivanDecryptsYourFiles.txt) зловмисники звертаються від імені головного героя фільму Джеймса Саллівана, завдання якого – лякати дітей. Крім того, виконуваний файл має назву «Sullivan.
Цього разу у програми-вимагача, написаній на платформі .NET, є схожість із попередніми атаками групи Sandworm. Зокрема скрипт PowerShell, який використовувався для поширення програм-вимагачів із контролера домену, майже ідентичний тому, який був виявлений у квітні під час атак Industroyer2 на енергетичний сектор.
Цей скрипт PowerShell, який CERT-UA назвав PowerGap, використовувався для розгортання шкідливої програми CaddyWiper для знищення інформації за допомогою завантажувача ArguePatch.
Шкідлива програма RansomBoggs генерує випадковий ключ і шифрує файли за допомогою AES-256 у режимі CBC (а не AES-128, як зазначено в повідомленні про викуп), а також додає розширення .chsch. Потім ключ шифрується за допомогою RSA і записується в aes.bin.
Залежно від версії шкідливого програмного забезпечення відкритий ключ RSA може бути закодований у зразку загрози або наданий як аргумент.
Востаннє група Sandworm опинилася в центрі уваги кілька тижнів тому. Тоді компанія Microsoft виявила програму-вимагача Prestige, яку на початку жовтня використовувала група для атак кількох логістичних компаній в Україні та Польщі.
Ці атаки є одними з численних загроз, з якими довелося протистояти українським організаціям лише цього року. Наприклад, ще 23 лютого, за кілька годин до повномасштабного російського вторгнення в Україну телеметрія Eset зафіксувала HermeticWiper у мережах кількох українських організацій. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу за допомогою IsaacWiper.
Принаймні з 2014 року Україна зазнала низки руйнівних кібератак з боку групи кіберзлочинців Sandworm, зокрема це були BlackEnergy, GreyEnergy та перша версія Industroyer. Зловмисники також відповідальні за загрозу NotPetya, яка проникла у корпоративні мережі багатьох компаній в Україні 2017 року, а згодом поширилась у всьому світі та спричинила хаос у багатьох організаціях.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
