ESET’ten araştırmacılar, Twitter’da yayınlanan bir başlıkta “Ukrayna’daki çeşitli kuruluşların” ağlarında RansomBoggs’u keşfettiklerine ilişkin bulgularını açıkladılar. RansomBoggs ile Sandworm ile ilişkilendirilen kötü amaçlı yazılım arasında, virüsün kodunun NET’te yazılması gibi önemli farklılıklar olsa da araştırmacılar, yayma tekniklerinin oldukça benzer olduğunu belirtti. RansomBoggs, Slovak yazılım firması ESET’teki uzmanların, Rus suç grubu Sandworm tarafından Ukrayna’daki şirketlere yönelik son saldırıda kullanılan fidye yazılımına verdiği isimdir.
Rapora göre, “etki alanı denetleyicisinden .NET fidye yazılımını yaymak için kullanılan bir PowerShell betiği, geçen Nisan ayında enerji endüstrisine yönelik #Industroyer2 saldırıları sırasında gözlemlenenle neredeyse aynı.”
Sandworm’un 2017’de NotPetya olarak bilinen fidye yazılımının oluşturulmasında yer aldığına inanılıyor ve en azından 1990’lardan beri faaliyet gösteriyor. Rusya’nın askeri istihbarat birimi olan GRU’nun 74455 numaralı birimine bağlandı.
Örgüt, Rusya’nın 2014’te Kırım’ı işgali ve ardından ele geçirmesi sırasında Ukrayna’ya saldırdı ve Rusya’nın Ukrayna’ya karşı en son hukuksuz savaşını başlatmasından bu yana faaliyet gösteriyor. Her iki durumda da Rusya uluslararası hukuku ihlal etti.
Nisan ayında Amerika Birleşik Devletleri hükümeti, Sandworm ile bağlantılı altı Rus GRU subayı hakkında bilgi verebilecek herkese on milyon dolarlık bir ödül teklif etti. Rus GRU görevlileri, Amerika Birleşik Devletleri’ndeki kritik altyapıya siber saldırılar düzenlemeyi planlamakla suçlandı.
ESET’e göre, kötü amaçlı yazılımın yükü, Ukrayna’daki Bilgisayar Acil Durum Müdahale Ekibi tarafından PowerGap olarak bilinen PowerShell betiği aracılığıyla kuruluşun ağına iletilir. PowerGap ayrıca Mart ayında Ukrayna’da ArguePatch yükleyici kullanılarak CaddyWiper kötü amaçlı yazılımını dağıtmak için saldırılarda kullanıldı.
Sandworm, 2001 yılında Pixar tarafından piyasaya sürülen Monsters, Inc. animasyon filmine gönderme yapan RansomBoggs’u kullanarak ölümcül saldırılarına komik bir dokunuş katıyor. “Sevgili insan yaşam formu!” fidye mesajında yazıyor ve failler kendilerini “Monsters, Inc.’in bir çalışanı olan James P. Sullivan” olarak adlandırıyor. James P. Sullivan, filmin ana kahramanı olarak rol alan canavarın adıdır. Yeşil ve mavi kürkü var.
ESET araştırmacılarına göre, notun adı SullivanDecryptsYourFiles.txt, yürütülebilir dosyanın adı da Sullivan ve kötü amaçlı yazılımın kodunda filme yapılan göndermeler de bulunuyor. Ayrıca kurbanlara m0nsters-inc@proton e-posta adresi aracılığıyla saldırının faillerine yanıt vermeleri talimatı verilir.
Mesaj AES-128 kullandığını iddia etse de, fidye yazılımı RSA kullanılarak şifrelenmiş rastgele bir anahtar üretir ve CBC modunda AES-256 kullanarak dosyaları şifreler. Ayrıca, kaydedildikten sonra şifrelenen dosyalara a.chsch son eki ekler.
RSA genel anahtarı, kötü amaçlı yazılımın biçimine bağlı olarak kötü amaçlı yazılım örneğinin kendisine sabit kodlanmış olabilir veya bir girdi olarak verilebilir.
Microsoft’un Iridium olarak adlandırdığı Sandworm, Ekim ayında Ukrayna ve Polonya’daki nakliye ve lojistik sektörlerine yönelik Prestige fidye yazılımı saldırısını başlattı. Bu kampanya, ağustos ayında siber güvenlik şirketi Recorded Future tarafından bildirildi ve Ukraynalı telekomünikasyon hizmet sağlayıcıları kılığına girerek Ukraynalı kuruluşları hedef aldı. Daha yakın bir tarihte, Sandworm, Ağustos ayında Ukraynalı telekomünikasyon hizmet sağlayıcıları kılığına girerek Ukraynalı kuruluşları hedef alan bir kötü amaçlı yazılım kampanyasının arkasındaki beyindi.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.