RansomBoggs: Neue Ransomware pro die Ukraine
[ad_1]
ESET-Forscher erspähen eine neue Ransomware-Kampagne, die ukrainische Organisationen verfolgt und überall Fingerabdrücke von Sandworm aufweist
Dasjenige ESET-Forschungsteam hat eine neue Woge von Ransomware-Angriffen entdeckt, die uff mehrere Organisationen in dieser Ukraine abzielen und die Merkmal anderer Kampagnen tragen, die zuvor von dieser Sandworm APT-Horde ausgelöst wurden.
Obwohl die Ransomware – von ESET RansomBoggs genannt und im .NET-Framework geschrieben – neu ist, weist insbesondere die Fasson und Weise, wie sie bereitgestellt wird, große Ähnlichkeit mit einigen früheren Angriffen uff, die dem berüchtigten Bedrohungsakteur zugeschrieben werden.
ESET hat dasjenige ukrainische Computer Emergency Response Team (CERT-UA) mehr als die Angriffe von RansomBoggs informiert, die erstmals am 21. November entdeckt wurdenst. Je nachher Variante wird RansomBoggs von ESET-Produkten qua MSIL/Filecoder.Sullivan.A und MSIL/Filecoder.RansomBoggs.A erkannt.
RansomBoggs uff zusammensetzen Blick
Lösegeldforderung von RansomBoggs
In dieser oben gezeigten Lösegeldforderung (SullivanDecryptsYourFiles.txt) beziehen sich die Autoren von RansomBoggs vielfach uff den Lichtspiel Monsters Inc., unter anderem während sie sich qua James P. Sullivan, dieser Hauptprotagonist des Films, ausrüsten.
Einmal freigesetzt, generiert die neue Ransomware „zusammensetzen zufälligen Schlüssel und verschlüsselt Dateien mit AES-256 im CBC-Modus“ – nicht die in dieser Lösegeldforderung erwähnte AES-Schlüssellänge von 128 Bit. Anschließend hängt es die Erweiterung .chsch an die verschlüsselten Dateien an.
„Welcher Schlüssel wird dann RSA-verschlüsselt und in aes.bin geschrieben“, so die ESET-Forscher. Je nachher Variante ist dieser öffentliche RSA-Schlüssel entweder im Schadsoftware-Sample selbst verkrampft codiert oder wird qua Begründung bereitgestellt.
Es gibt Ähnlichkeiten mit früheren Angriffen, die von durchgeführt wurden #Sandwurm: Ein PowerShell-Skript, dasjenige zur Verteilung dieser .NET-Ransomware vom Domänencontroller verwendet wird, ist so gut wie inhaltsgleich mit dem, dasjenige im vergangenen vierter Monat des Jahres während dieser #Industroyer2 Angriffe uff den Energiesektor 4/9 pic.twitter.com/fdh6A2FCXk
— ESET-Wissenschaft (@ESETresearch) 25. November 2022
Welches Ähnlichkeiten mit anderen Angriffen von Sandworm betrifft, so ist dasjenige PowerShell-Skript, dasjenige zur Verteilung von RansomBoggs vom Domänencontroller verwendet wird, so gut wie inhaltsgleich mit dem, dasjenige c/o Industroyer2-Angriffen uff den ukrainischen Energiesektor im vierter Monat des Jahres dieses Jahres verwendet wurde. Dasjenige gleiche Skript wurde verwendet, um eine datenlöschende Schadsoftware namens CaddyWiper zu verteilen, die den ArguePatch-Loader nutzte und im März mehrere zwölf Stück Systeme in einer begrenzten Quantität von Organisationen in dieser Ukraine traf.
Ukraine unter Beschuss
Sandworm hat eine nachhaltig Erfolgsgeschichte hinter einigen dieser weltweit störendsten Cyberangriffe dieser letzten so gut wie zehn Jahre. Zuletzt trat es vor wenigen Wochen ins Rampenlicht, nachdem es von Microsoft qua hinter dieser Ransomware namens „Prestige“ gefingert wurde, die Entstehen zehnter Monat des Jahres mehrere Logistikunternehmen in dieser Ukraine und Polen traf.
Die oben erwähnten Angriffe spendieren keineswegs dasjenige vollständige Grafik dieser verschiedenen Bedrohungen wieder, denen hochkarätige ukrainische Organisationen nur in diesem Jahr ausgesetzt waren. Zum Vorzeigebeispiel zurück am 23. Februarrd, nur wenige Zahlungsfrist aufschieben zuvor Russland in die Ukraine einmarschierte, nahm die ESET-Telemetrie HermeticWiper in den Netzwerken mehrerer ukrainischer Organisationen uff. Am nächsten Tag startete ein zweiter zerstörerischer Offensive uff ein ukrainisches Regierungsnetzwerk, diesmal lieferte er IsaacWiper.
Tatsächlich ist die Ukraine seit dem Zeitpunkt mindestens 2014 Todesopfer einer Schlange extrem störender Cyberangriffe von Sandworm geworden, darunter BlackEnergy, GreyEnergy und die erste Iteration von Industroyer. Die Horde stand beiläufig hinterm NotPetya-Offensive, dieser im Monat des Sommerbeginns 2017 durch viele Unternehmensnetzwerke in dieser Ukraine fegte, zuvor er sich wie ein Lauffeuer weltweit ausbreitete und in vielen Organisationen weltweit Tohuwabohu anrichtete.
[ad_2]