Ucrania ha sido objeto de una nueva avalancha de ataques de ransomware que reflejan intrusiones anteriores atribuidas al grupo de estado-nación Sandworm con sede en Rusia.
La empresa eslovaca de ciberseguridad ESET, que denominó la nueva variedad de ransomware RansomBoggsdijo que los ataques contra varias entidades ucranianas se detectaron por primera vez el 21 de noviembre de 2022.
«Si bien el malware escrito en .NET es nuevo, su implementación es similar a los ataques anteriores atribuidos a Sandworm», dijo la empresa. dijo en una serie de tuits el viernes.
El desarrollo se produce cuando el actor Sandworm, rastreado por Microsoft como Iridium, estuvo implicado en una serie de ataques dirigidos a los sectores de transporte y logística en Ucrania y Polonia con otra cepa de ransomware llamada Prestige en octubre de 2022.
Se dice que la actividad de RansomBoggs emplea un script de PowerShell para distribuir el ransomware, siendo este último «casi idéntico» al utilizado en los ataques de malware Industroyer2 que salieron a la luz en abril.
Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), el script de PowerShell, llamado GAP DE PODERse aprovechó para implementar un malware de limpieza de datos llamado CaddyWiper usando un cargador denominado ArguePatch (también conocido como AprilAxe).
El análisis de ESET del nuevo ransomware muestra que genera una clave aleatoria y encripta archivos usando AES-256 en Modo CBC y agrega la extensión de archivo «.chsch».
Sandworm, un grupo de piratería adverso de élite dentro de la agencia de inteligencia militar GRU de Rusia, tiene un historial notorio de atacar infraestructura crítica a lo largo de los años.
El actor de amenazas se ha relacionado con los ataques cibernéticos NotPetya contra hospitales e instalaciones médicas en 2017 y los ataques destructivos contra la red eléctrica de Ucrania en 2015 y 2016.