Російські хакери Sandworm атакували українські організації

Війна в Україні

Російське злочинне угруповання Sandworm запустило чергову кібератаку на організації в Україні, використовуючи програму-вимагача. Аналітики словацької компанії ESET у Twitter-треді називають цю програму RansomBoggs.

Дослідники виявили RansomBoggs 21 листопада в мережах кількох організацій в Україні. Хоча деякі аспекти RansomBoggs відрізняються від шкідливого програмного забезпечення, пов'язаного із Sandworm, методи розгортання аналогічні, пишуть вони.

Автори шкідливого ПЗ у своїх повідомленнях роблять посилання на "Корпорацію монстрів" – мультфільм Pixar 2001 року. У листі про викуп (SullivanDecryptsYourFiles.txt) хакери видають себе за Джеймса П. Саллівана, головного героя мультфільму, робота якого – лякати дітей.

Експерти зазначають, що в нинішній атаці є схожість із попередніми атаками, проведеними Sandworm. Зокрема, скрипт PowerShell, який використовують для поширення програми-вимагача .NET із контролера домену, майже ідентичний скрипту, який застосовували у квітні минулого року під час атак Industroyer2 на енергетичний сектор України. Ці атаки також приписали Sandworm.

Контекст

Як зазначає Techcrunch, угруповання Sandworm пов'язане з підрозділом російської розвідки і, ймовірно, відповідальне за розроблення програми-вимагача NotPetya, яка атакувала комп'ютерні системи України 2017 року.
2020 року прокуратура США висунула шістьом хакерам Sandworm обвинувачення в атаці вірусом NotPetya, а також у кількох інших атаках, націлених на зимові Олімпійські ігри 2018 року в Пхьончхані в Південній Кореї, і в проведенні хакерських атак з організації витоку інформації з метою дискредитації тодішнього кандидата у президенти Франції Еммануеля Макрона.
У квітні 2022 року США оголосили винагороду в розмірі $10 млн за інформацію про Sandworm, звинувативши їх у плануванні кібератак на американську критичну інфраструктуру.