російські хакери Sandworm знову атакують Україну. Що відомо?

Що сталося

російське хакерське угруповання Sandworm знову атакує організації в Україні. За даними аналітиків словацької компанії ESET, вони використовують програму-вимагача RansomBoggs.

У Twitter дослідники ESET повідомили, що вони виявили RansomBoggs, розгорнуту в мережах «декількох організацій в Україні».

«Існує схожість з попередніми атаками, проведеними Sandworm: сценарій PowerShell, який використовується для розповсюдження програми-вимагача .NET з контролера домену, майже ідентичний тому, який спостерігався в квітні минулого року під час атак #Industroyer2 на енергетичний сектор», — пишуть аналітики.

Sandworm пов’язана з підрозділом 74455 ГРУ — військовою розвідкою Росії. Вона активно діє щонайменше з 1990-х років. У тому числі її підозрюють в розробці вірусу NotPetya у 2017 році.

Угруповання націлилось на Україну під час вторгнення Росії у 2014-му та подальшої окупації Криму. Воно ж продовжило активно діяти вже після початку повномасштабної війни. У серпні Sandworm здійснили кібератаку на українські організації. Тоді вони видавали себе за постачальників телекомунікаційних послуг.

У квітні США оголосили винагороду в розмірі $10 млн за інформацію про Sandworm. Угруповання звинувачують у плануванні кібератак на американську критичну інфраструктуру.

Що відомо про атаку

За даними ESET, Sandworm проводять атаку, посилаючись на анімаційний фільм «Корпорація монстрів» 2001 року. Зловмисники звертаються на «Дорога людська форма життя!» у записці з вимогою викупу. Також вони представляються Джеймсом П. Салліваном (ім’я головного героя фільму, монстра з синьо-зеленим хутром).

Записка має назву SullivanDecryptsYourFiles.txt, виконуваний файл також має ім’я Салліван. В коді є посилання на фільм. Крім того, жертвам пропонується відповісти зловмисникам за адресою m0nsters-inc@proton.

Підтримайте Vector

Знайшли помилку? Виділіть її і натисніть Ctrl+Enter