Российская хакерская группа Sandworm проводит очередную атаку на организации в Украине. Они используют программу-вымогатель, которую аналитики словацкой компании ESET называют RansomBoggs. Об этом пишет издание The Register.
Исследователи ESET написали, что они обнаружили RansomBoggs, развернутый в сетях нескольких организаций в Украине. Некоторые аспекты RansomBoggs отличаются от вредоносного программного обеспечения, обычно используемого Sandworm. Например, код вируса написан в .NET, однако методы развертывания указывают именно на Sandworm.
«Есть сходство с предыдущими атаками, осуществленными Sandworm: сценарий PowerShell, который использовался для распространения программ-требителей .NET с контроллера домена, почти идентичен тому, который наблюдался в апреле прошлого года во время атак Industroyer2 на энергетический сектор», — говорят исследователи.
Почему это важно
ESET уже известила украинские службы кибербезопасности о RansomBoggs. На этот раз Sandworm оставляют упоминание о мультфильме от Pixar «Корпорация монстров». Злоумышленники начинают записку о выкупе «Дорогая человеческая форма жизни!» и представляются как «Джеймс П. Салливан, сотрудник Monsters, Inc.». Это имя главного героя фильма – монстра с сине-зеленой шерстью.
Sandworm связан с подразделением российской разведки, которое ведет активную деятельность с 1990-х годов, и, возможно, ответственен за разработку программы-вымогателя NotPetya в 2017 году. Группировка была нацелена на Украину во время вторжения России в 2014 году и последующей оккупации Крыма и активно действовала с момента полномасштабного нападения рф на Украину.
В апреле США объявили вознаграждение в $10 млн за информацию о Sandworm, обвинив их в планировании кибератак на американскую критическую инфраструктуру. В августе Sandworm осуществили кибератаку на украинские организации, выдавая себя поставщиками телекоммуникационных услуг.