Ukrayna, Rusya merkezli Sandworm ulus-devlet grubuna atfedilen önceki izinsiz girişleri yansıtan yeni bir fidye yazılımı saldırısı saldırısına uğradı.
Yeni fidye yazılımı türü olarak adlandırılan Slovak siber güvenlik şirketi ESET RansomBoggsbirkaç Ukrayna kuruluşuna yönelik saldırıların ilk olarak 21 Kasım 2022’de tespit edildiğini söyledi.
Şirket, “.NET’te yazılan kötü amaçlı yazılım yeni olsa da, dağıtımı Sandworm’a atfedilen önceki saldırılara benziyor” dedi. söz konusu Cuma günü bir dizi tweet’te.
Gelişme, Microsoft tarafından Iridium olarak takip edilen Sandworm aktörünün Ekim 2022’de Prestige adlı başka bir fidye yazılımı türüyle Ukrayna ve Polonya’daki ulaşım ve lojistik sektörlerini hedef alan bir dizi saldırıya karışmasıyla geldi.
RansomBoggs etkinliğinin, fidye yazılımını dağıtmak için bir PowerShell komut dosyası kullandığı söyleniyor; ikincisi, Nisan ayında ortaya çıkan Industroyer2 kötü amaçlı yazılım saldırılarında kullanılanla “neredeyse aynı”.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’ne (CERT-UA) göre, POWERGAP adlı PowerShell betiği, ArguePatch (aka AprilAxe) adlı bir yükleyici kullanılarak CaddyWiper adlı bir veri silecek kötü amaçlı yazılımını dağıtmak için kullanıldı.
ESET’in yeni fidye yazılımı analizi, rastgele oluşturulmuş bir anahtar oluşturduğunu ve CBC modunda AES-256 kullanarak dosyaları şifrelediğini ve “.chsch” dosya uzantısını eklediğini gösteriyor.
Rusya’nın GRU askeri istihbarat teşkilatı bünyesindeki elit bir rakip bilgisayar korsanlığı grubu olan Sandworm, yıllar içinde kritik altyapıyı vurma konusunda kötü bir sicile sahip.
Tehdit aktörü, 2017’de hastanelere ve tıbbi tesislere yönelik NotPetya siber saldırılarıyla ve 2015 ve 2016’da Ukrayna elektrik şebekesine yönelik yıkıcı saldırılarla ilişkilendirildi.