Российские хакеры Sandworm атаковали украинские организации

Война в Украине

Российская преступная группировка Sandworm запустила очередную кибератаку на организации в Украине, используя программу-вымогатель. Аналитики словацкой компании ESET в Twitter-треде называют эту программу RansomBoggs.

Исследователи обнаружили RansomBoggs 21 ноября в сетях нескольких организаций в Украине. Хотя некоторые аспекты RansomBoggs отличаются от вредоносного ПО, связанного с Sandworm, методы развертывания аналогичны, пишут они.

Авторы вредоносного ПО в своих сообщениях делают отсылки на "Корпорацию монстров" – мультфильм Pixar 2001 года. В письме о выкупе (SullivanDecryptsYourFiles.txt) хакеры выдают себя за Джеймса П. Салливана, главного героя мультфильма, чья работа – пугать детей.

Эксперты отмечают, что в нынешней атаке есть сходство с предыдущими атаками, проведенными Sandworm. В частности, скрипт PowerShell, используемый для распространения программы-вымогателя .NET с контроллера домена, почти идентичен скрипту, который применялся в апреле прошлого года во время атак Industroyer2 на энергетический сектор Украины. Эти атаки также были приписаны Sandworm.

Контекст

Как отмечает Techcrunch, группировка Sandworm связана с подразделением российской разведки и, вероятно, ответственна за разработку программы-вымогателя NotPetya, атаковавшей компьютерные системы Украины в 2017 году.
В 2020 году прокуратура США предъявила шести хакерам Sandworm обвинения в атаке вирусом NotPetya, а также в нескольких других атаках, нацеленных на зимние Олимпийские игры 2018 года в Пхенчхане в Южной Корее, и в проведении хакерских атак по организации утечки информации с целью дискредитации тогдашнего кандидата в президенты Франции Эммануэля Макрона.
В апреле 2022 года США объявили вознаграждение в $10 млн за информацию о Sandworm, обвинив группировку в планировании кибератак на американскую критическую инфраструктуру.