Російська хакерська група Sandworm проводить чергову атаку на організації в Україні. Вони використовують програму-вимагач, яку аналітики словацької компанії ESET називають RansomBoggs. Про це пише видання The Register.
Дослідники ESET написали, що вони виявили RansomBoggs, розгорнутий у мережах «кількох організацій в Україні». Деякі аспекти RansomBoggs відрізняються від зловмисного програмного забезпечення, яке зазвичай використовують Sandworm. Наприклад код вірусу написаний у .NET, однак методи розгортання вказують саме на Sandworm.
«Є схожість із попередніми атаками, здійсненими Sandworm: сценарій PowerShell, який використовувався для розповсюдження програм-вимагачів .NET із контролера домену, майже ідентичний тому, який спостерігався у квітні минулого року під час атак Industroyer2 на енергетичний сектор», — кажуть дослідники.
Чому це важливо
ESET вже сповістила українських служб кібербезпеки про RansomBoggs. Цього разу Sandworm залишають згадку про мультфільм від Pixar «Корпорація монстрів». Зловмисники розпочали записку про викуп «Дорога людська форма життя!» і представляються як «Джеймс П. Салліван, співробітник Monsters, Inc.». Це ім’я головного героя фільму — монстра з синьо-зеленою шерстю.
Sandworm пов’язаний із підрозділом російської розвідки, який веде активну діяльність з 1990-х років, і можливо відповідальний за розробку програми-вимагача NotPetya у 2017 році. Угруповання було націлено на Україну під час вторгнення Росії в 2014 році та подальшої окупації Криму та активно діяло з моменту повномасштабного нападу РФ на Україну.
У квітні США оголосили винагороду в розмірі $10 млн за інформацію про Sandworm, звинувативши їх у плануванні кібератак на американську критичну інфраструктуру. У серпні Sandworm здійснили кібератаку на українські організації, видаючи себе за постачальників телекомунікаційних послуг.