+13 Киев
Исследователи обнаружили RansomBoggs 21 ноября в сетях нескольких организаций в Украине. Хотя некоторые аспекты RansomBoggs отличаются от вредоносного ПО, связанного с Sandworm, методы развертывания аналогичны, пишут они.
Авторы вредоносного ПО в своих сообщениях делают отсылки на "Корпорацию монстров" – мультфильм Pixar 2001 года. В письме о выкупе (SullivanDecryptsYourFiles.txt) хакеры выдают себя за Джеймса П. Салливана, главного героя мультфильма, чья работа – пугать детей.
Its authors make multiple references to Monsters, Inc., the 2001 movie by Pixar. The ransom note (SullivanDecryptsYourFiles.txt) shows the authors impersonate James P. Sullivan, the main character of the movie, whose job is to scare kids. 2/9
— ESET Research (@ESETresearch) November 25, 2022
Эксперты отмечают, что в нынешней атаке есть сходство с предыдущими атаками, проведенными Sandworm. В частности, скрипт PowerShell, используемый для распространения программы-вымогателя .NET с контроллера домена, почти идентичен скрипту, который применялся в апреле прошлого года во время атак Industroyer2 на энергетический сектор Украины. Эти атаки также были приписаны Sandworm.
There are similarities with previous attacks conducted by #Sandworm: a PowerShell script used to distribute the .NET ransomware from the domain controller is almost identical to the one seen last April during the #Industroyer2 attacks against the energy sector. 4/9 pic.twitter.com/fdh6A2FCXk
— ESET Research (@ESETresearch) November 25, 2022
