Група російських хакерів "Sandworm" атакувала Україну вірусом-здирником
Російське злочинне угруповання "Sandworm" вчергове напало на українські організації за допомогою вірусу-здирника, який аналітики з ESET - словацької компанії-розробника програмного забезпечення - називають "RansomBoggs", пише Theregister.
Дослідники ESET опублікували потік у Twitter, у якому заявили, що виявили вірус "RansomBoggs" у мережах "низки українських організацій". За словами фахівців, деякі ознаки "RansomBoggs" (наприклад, код, розроблений на платформі .NET) відрізняються від інших програм-шкідників, котрі асоціюють із "Sandworm", але методи застосування характерні.
"Простежуються певні паралелі з попередніми атаками #Sandworm: скрипт PowerShell, за допомогою якого вірус-здирник, розроблений у .NET, поширюється з контролера домену, є майже ідентичним скрипту, зафіксованому під час атак #Industroyer2, яких зазнав енергетичний сектор минулого квітня» і які приписують групі "Sandworm".
ESET повідомила українським службам кібербезпеки про вірус "RansomBoggs".
"Боєзаряд" вірусу потрапляє у мережу організації за допомогою скрипту PowerShell, який українська Команда реагування на комп'ютерні надзвичайні події (CERT-UA) називає "PowerGap". Як стверджують в ESET, цей скрипт використовували хакери, які атакували Україну у березні, аби заразити мережі українських організацій вірусом "CaddyWiper" за допомогою завантажувача "ArguePatch".
У випадку "RansomBoggs" група хакерів додала до своїх серйозних атак "мультяшності" - відсилок до анімаційного фільму Pixar "Корпорація монстрів" (2001 рік). У повідомленні з вимогою викупу хакери звертаються до адресата "Шановна людська істото!" і підписуються "Джеймс П. Салліван, співробітник Корпорації монстрів". Джеймс П. Салліван – це ім’я головного героя мультфільму, монстра з блакитно-зеленим хутром.
Файл із повідомленням називається SullivanDecryptsYourFiles.txt ("Салліван дешифрує твої файли"), виконуваний файл має назву "Салліван", і код програми також містить відсилки до мультфільму, зазначають дослідники ESET. До того ж, жертвам вірусу пропонується відповісти на вимоги хакерів, написавши на адресу m0nsters-inc@proton.
Вірус генерує випадковий ключ за допомогою алгоритму RSA; цей ключ шифрує файли, використовуючи стандарт AES-256 в режимі CBC (хоча у своєму повідомленні хакери стверджують, що послуговуються AES-128). Вірус також додає розширення .chsch до зашифрованих файлів.
"Залежно від варіанту вірусу, цей відкритий ключ може або бути жорстким кодом, що міститься в самому зразку шкідливої програми, або бути наданим як аргумент", - пишуть ESET.
Групу "Sandworm" пов’язують з підрозділом 74455 ГРУ - російської служби військової розвідки. Угруповання існує щонайменше з 1990-х років; вважається, що саме вона була причетною до розробки вірусу NotPetya у 2017 році.
Група "Sandworm" уже здійснювала напади на Україну під час російського вторгнення й окупації Криму в 2014 році та була активною після останнього незаконного нападу Росії на Україну.
У квітні США пообіцяли винагороду в 10 мільйонів доларів за інформацію про шість офіцерів російського ГРУ, пов’язаних із "Sandworm", звинувативши їх у підготовці кібератак на критичну інфраструктуру Америки.
Пізніше, у серпні, "Sandworm" були причетні до вірусної атаки на українські організації, про яку повідомила компанія з кібербезпеки "Recorded Future" (тоді хакери прикинулися українськими провайдерами зв’язку), а також до атаки, зафіксованої "Microsoft" у жовтні, коли група "Sandworm" (у "Microsoft" її називають "Iridium") – вразила вірусом-здирачем "Prestige" індустрії транспорту й логістики в Україні та Польщі.
У своєму звіті дослідники з безпекового відділу "Microsoft" зазначили, що група "Iridium" "бере активну участь у війні в Україні та причетна до нищівних атак, яких Україна зазнавала з початку війни".
Операція "Prestige", цілями якої були підприємства як в Україні, так і в Польщі, продемонструвала можливу зміну в "розрахунках угруповання - зростання загрози для організацій, що безпосередньо займаються поставками або перевезенням гуманітарної чи військової допомоги Україні", зазначили дослідники.
Help us be even more cool!
