Вымогательское ПО RansomBoggs от Sandworm активно используется против украинских организаций.
Новое вымогательское ПО было обнаружено ИБ-компанией ESET, которая назвала вредоноса RansomBoggs и сообщила, что он использовался в ходе атак на несколько украинских организаций с 21 ноября 2022 года. И хотя вредонос написан на .NET и является совершенно новым, его процесс развертки крайне похож на процесс развертки других вредоносных программ группировкой Sandworm.
Этот инцидент произошел после того, как Sandworm атаковала транспортные и логистические компании Польши и Украины используя новый вирус-вымогатель под названием Prestige.
По словам исследователей ESET, для распространения RansomBoggs используется PowerShell-скрипт, который почти идентичен скрипту, использованному злоумышленниками для заражения жертв вредоносом Industroyer2. Этот скрипт называется POWERGAP и ранее использовался для развертывания вайпера CaddyWiper с помощью загрузчика ArguePatch (он же AprilAxe).
Анализ RansomBoggs показал, что программа генерирует случайный ключ и шифрует файлы с помощью AES-256 в режиме CBC, после чего добавляет всему зашифрованному расширение ".chsch".
Напомним, что группировка Sandworm недавно атаковала поставщиков вооружения для Украины с помощью вредоноса Prestige. Злоумышленники использовали три способа заражения компаний из Восточной Европы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках