本周一首次发现针对乌克兰组织的新型勒索软件攻击与臭名昭著的俄罗斯军事威胁组织 Sandworm 有关。
最先发现这波攻击的斯洛伐克软件公司 ESET 表示,在多个乌克兰组织的网络中发现了他们命名为 RansomBoggs 的勒索软件。
“虽然用 .NET 编写的恶意软件是新的,但它的部署类似于以前归因于 Sandworm 的攻击,”ESET 的研究实验室说。
“与 Sandworm 之前进行的攻击有相似之处:用于从域控制器分发 .NET 勒索软件的 PowerShell 脚本几乎与去年 4 月在 Industroyer2 攻击能源部门期间看到的脚本相同。”
用于在受害者网络上部署 RansomBoggs 有效载荷的 PowerShell 脚本被称为 POWERGAP,它也是3 月份在针对乌克兰组织的攻击中交付 CaddyWiper 破坏性恶意软件的幕后黑手。
一旦通过受害者的网络,RansomBoggs 使用随机密钥(随机生成、RSA 加密并写入 aes.bin)在 CBC 模式下使用 AES-256 加密文件,并将 .chsch 扩展名附加到所有加密文件扩展名。
根据攻击中使用的变体,RSA 公钥可以在恶意软件本身中进行硬编码或作为参数提供。
在加密系统上,勒索软件还会伪装成 Monsters Inc 电影的主角詹姆斯·P·沙利文 (James P. Sullivan) 并在恶意软件代码中找到更多参考资料,从而生成勒索票据。
本月早些时候,微软还将 Sandworm 网络间谍组织(被 Redmond 追踪为 IRIDIUM)与自 10 月以来针对乌克兰和波兰的运输和物流公司的 Prestige 勒索软件攻击联系起来。
MSTIC表示: “Prestige 活动可能会突显 IRIDIUM 的破坏性攻击演算发生有节制的转变,表明直接向乌克兰提供或运送人道主义或军事援助的组织面临的风险增加。 ”
“更广泛地说,这可能代表东欧组织的风险增加,俄罗斯政府可能认为这些组织正在提供与战争有关的支持。”
2 月,美国和英国网络安全机构发布的联合安全咨询还在俄罗斯军事威胁组织Cyclops Blink 僵尸网络被破坏之前将其锁定,阻止其在野外使用。
Sandworm是一群活跃了至少二十年的俄罗斯精英黑客,据信是俄罗斯 GRU 特殊技术主要中心 (GTsST) 74455 部队的一部分。
他们之前曾与导致针对乌克兰银行的KillDisk 擦除器攻击以及 2015年和 2016年乌克兰停电的攻击有关。
据信,Sandworm 还开发了 NotPetya 勒索软件,该软件从 2017 年 6 月开始造成数十亿美元的损失。
美国司法部于 2020 年 10 月指控该组织的六名特工协调与 NotPetya 勒索软件攻击、2018 年平昌冬奥会以及 2017 年法国大选有关的黑客行动。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 乌克兰的新勒索软件攻击与俄罗斯Sandworm黑客有关
