Новини науки

Компанія ESET ― лідер у галузі інформаційної безпеки ― попереджає про нову хвилю поширення програми-вимагача RansomBoggs, яка націлена на організації в Україні. Шкідлива програма поширюється через групову політику Active Directory, що вимагає від зловмисників отримання права адміністратора домену.

Хоча шкідливе програмне забезпечення є новим, його розгортання схоже на попередні атаки групи кіберзлочинців Sandworm, яка раніше вже націлювалась на українських користувачів.

Спеціалісти ESET повідомили про атаки RansomBoggs, які вперше були виявлені 21 листопада 2022 року. Залежно від версії, продукти ESET виявляють шкідливу програму RansomBoggs як MSIL/Filecoder.Sullivan.A та MSIL/Filecoder.RansomBoggs.A.

Короткий огляд програми-вимагача RansomBoggs

Кіберзлочинці багаторазово згадують фільм Pixar 2001 року ― «Корпорація монстрів». У повідомленні про викуп (SullivanDecryptsYourFiles.txt) зловмисники звертаються від імені головного героя фільму Джеймса Саллівана, завдання якого — лякати дітей. Крім того, виконуваний файл має назву «Sullivan.<version?>.exe», а також згадки про це є в коді.

Цього разу у програми-вимагача, написаній на платформі.NET, є схожість із попередніми атаками групи Sandworm. Зокрема скрипт PowerShell, який використовувався для поширення програм-вимагачів із контролера домену, майже ідентичний тому, який був виявлений у квітні під час атак Industroyer2 на енергетичний сектор.

Цей скрипт PowerShell використовувався для розгортання шкідливої програми CaddyWiper для знищення інформації за допомогою завантажувача ArguePatch.

Україна постійно під загрозою кібератак із боку росії.

Шкідлива програма RansomBoggs генерує випадковий ключ і шифрує файли за допомогою AES-256 у режимі CBC (а не AES-128, як зазначено в повідомленні про викуп), а також додає розширення .chsch. Потім ключ шифрується за допомогою RSA і записується в aes.bin.

Залежно від версії шкідливого програмного забезпечення відкритий ключ RSA може бути закодований у зразку загрози або наданий як аргумент.

Україна постійно залишається під загрозою кібератак

Востаннє група Sandworm опинилася в центрі уваги кілька тижнів тому. Тоді компанія Microsoft виявила програму-вимагача Prestige, яку на початку жовтня використовувала група для атак кількох логістичних компаній в Україні та Польщі.

Ці атаки є одними з численних загроз, з якими довелося протистояти українським організаціям лише цього року. Наприклад, ще 23 лютого 2022 року, за кілька годин до російського вторгнення в Україну телеметрія ESET зафіксувала HermeticWiper у мережах кількох українських організацій. Наступного дня почалася друга руйнівна атака на українську урядову мережу, цього разу за допомогою IsaacWiper.

Дійсно, принаймні з 2014 року Україна зазнала низки руйнівних кібератак з боку групи кіберзлочинців Sandworm, зокрема це були BlackEnergy, GreyEnergy та перша версія Industroyer. Зловмисники також відповідальні за загрозу NotPetya, яка проникла у корпоративні мережі багатьох компаній в Україні 2017 року, а згодом поширилась у всьому світі та спричинила хаос у багатьох організаціях.

У зв’язку з небезпекою подальших атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.

Дослідники ESET продовжують слідкувати за ситуацією у кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки.