Ukraine đã hứng chịu một cuộc tấn công mới của các cuộc tấn công bằng mã độc tống tiền phản ánh các cuộc xâm nhập trước đó được cho là do nhóm nhà nước quốc gia Sandworm có trụ sở tại Nga.
Công ty an ninh mạng ESET của Slovakia, được mệnh danh là chủng ransomware mới tiền chuộcBoggscho biết các cuộc tấn công nhằm vào một số thực thể Ukraine được phát hiện lần đầu tiên vào ngày 21 tháng 11 năm 2022.
“Mặc dù phần mềm độc hại được viết bằng .NET là mới, nhưng việc triển khai nó tương tự như các cuộc tấn công trước đây được cho là của Sandworm,” công ty cho biết trong một loạt các tweet vào thứ Sáu.
Sự phát triển diễn ra khi diễn viên Sandworm, được Microsoft theo dõi với tên Iridium, có liên quan đến một loạt các cuộc tấn công nhằm vào lĩnh vực vận tải và hậu cần ở Ukraine và Ba Lan với một chủng ransomware khác có tên là Prestige vào tháng 10 năm 2022.
Hoạt động của RansomBoggs được cho là sử dụng tập lệnh PowerShell để phân phối ransomware, với tập lệnh sau “gần giống” với tập lệnh được sử dụng trong các cuộc tấn công phần mềm độc hại Industroyer2 được đưa ra ánh sáng vào tháng Tư.
Theo Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA), tập lệnh PowerShell, có tên POWERGAP, đã được tận dụng để triển khai phần mềm độc hại xóa dữ liệu có tên CaddyWiper bằng cách sử dụng trình tải có tên ArguePatch (hay còn gọi là AprilAxe).
Phân tích của ESET về ransomware mới cho thấy nó tạo khóa được tạo ngẫu nhiên và mã hóa các tệp bằng AES-256 ở chế độ CBC và nối thêm phần mở rộng tệp “.chsch”.
Sandworm, một nhóm tin tặc đối thủ ưu tú trong cơ quan tình báo quân sự GRU của Nga, có một hồ sơ theo dõi khét tiếng về việc tấn công cơ sở hạ tầng quan trọng trong những năm qua.
Tác nhân đe dọa đã được liên kết với các cuộc tấn công mạng NotPetya nhằm vào các bệnh viện và cơ sở y tế vào năm 2017 và các cuộc tấn công phá hoại nhằm vào lưới điện Ukraine vào năm 2015 và 2016.
