Исследователи обнаружили RansomBoggs 21 ноября в сетях нескольких организаций в Украине. Хотя некоторые аспекты RansomBoggs отличаются от вредоносного ПО, связанного с Sandworm, методы развертывания аналогичны, пишут они.
Авторы вредоносного ПО в своих сообщениях делают отсылки на "Корпорацию монстров" – мультфильм Pixar 2001 года. В письме о выкупе (SullivanDecryptsYourFiles.txt) хакеры выдают себя за Джеймса П. Салливана, главного героя мультфильма, чья работа – пугать детей.
Its authors make multiple references to Monsters, Inc., the 2001 movie by Pixar. The ransom note (SullivanDecryptsYourFiles.txt) shows the authors impersonate James P. Sullivan, the main character of the movie, whose job is to scare kids. 2/9
— ESET Research (@ESETresearch) November 25, 2022
Эксперты отмечают, что в нынешней атаке есть сходство с предыдущими атаками, проведенными Sandworm. В частности, скрипт PowerShell, используемый для распространения программы-вымогателя .NET с контроллера домена, почти идентичен скрипту, который применялся в апреле прошлого года во время атак Industroyer2 на энергетический сектор Украины. Эти атаки также были приписаны Sandworm.
There are similarities with previous attacks conducted by #Sandworm: a PowerShell script used to distribute the .NET ransomware from the domain controller is almost identical to the one seen last April during the #Industroyer2 attacks against the energy sector. 4/9 pic.twitter.com/fdh6A2FCXk
— ESET Research (@ESETresearch) November 25, 2022
Как отмечает Techcrunch, группировка Sandworm связана с подразделением российской разведки и, вероятно, ответственна за разработку программы-вымогателя NotPetya, атаковавшей компьютерные системы Украины в 2017 году.
В 2020 году прокуратура США предъявила шести хакерам Sandworm обвинения в атаке вирусом NotPetya, а также в нескольких других атаках, нацеленных на зимние Олимпийские игры 2018 года в Пхенчхане в Южной Корее, и в проведении хакерских атак по организации утечки информации с целью дискредитации тогдашнего кандидата в президенты Франции Эммануэля Макрона.
В апреле 2022 года США объявили вознаграждение в $10 млн за информацию о Sandworm, обвинив группировку в планировании кибератак на американскую критическую инфраструктуру.
