Ukrayna'daki yeni fidye yazılımı saldırıları ilk kez bu Pazartesi günü tespit edilen, kötü şöhretli Rus askeri tehdit grubu Sandworm ile bağlantılı.
Bu saldırı dalgasını ilk gören Slovak yazılım şirketi ESET, Ransomboggs adlı fidye yazılımlarının birden fazla Ukrayna örgütünün ağlarında bulunduğunu söylüyor.
ESET'in Araştırma Laboratuarları, "
Diyerek şöyle devam etti: "Sandworm tarafından yapılan önceki saldırılarla benzerlikler var: .NET fidye yazılımlarını etki alanı denetleyicisinden dağıtmak için kullanılan bir PowerShell betiği, geçen Nisan ayında enerji sektörüne yönelik Industrial2 saldırıları sırasında görülenle neredeyse aynı."
Ransomboggs yüklerini kurban ağlarına dağıtmak için kullanılan PowerShell betiği, PowerGap olarak bilinir ve aynı zamanda Mart ayında Ukrayna orgslarına yönelik saldırılarda Caddywiper yıkıcı kötü amaçlı yazılımların teslimatının arkasındaydı.
Bir kurbanın ağı boyunca itildikten sonra, Ransomboggs dosyaları CBC modunda AES-256 kullanarak rastgele bir anahtar (rastgele oluşturulan, RSA şifrelenmiş ve AES.bin'e yazılmış) kullanarak şifreler ve tüm şifreli dosya uzantısına .chsch uzantısı ekler.
Saldırıda kullanılan varyanta bağlı olarak, RSA genel anahtarı kötü amaçlı yazılımda sabit kodlanabilir veya bir argüman olarak sağlanabilir.
Şifreli sistemlerde, fidye yazılımı, Monsters Inc filminin ana karakteri olan James P. Sullivan'ı taklit eden fidye notlarını da kötü amaçlı yazılım kodunda bulunan daha fazla referansla düşürür.
Bu ayın başlarında Microsoft, Sandworm Siber-Teslim Grubunu (Redmond tarafından Iridium olarak izlenen) Ekim ayından bu yana Ukrayna ve Polonya'daki ulaşım ve Lojistik Şirketlerini hedefleyen prestij fidye yazılımı saldırılarına da bağladı.
MSTIC, "Prestij kampanyası, Iridium'un yıkıcı saldırı hesabında ölçülen bir değişimi vurgulayabilir ve Ukrayna'ya doğrudan insani veya askeri yardım sağlayan veya taşıyan kuruluşlar için artan riske işaret eder." Dedi.
Diyerek şöyle devam etti: "Daha geniş bir şekilde, Doğu Avrupa'daki kuruluşlar için Rus devleti tarafından savaşla ilgili destek sağladığı düşünülebilecek bir riski temsil edebilir."
Şubat ayında, ABD ve İngiltere siber güvenlik ajansları tarafından yayınlanan ortak bir güvenlik danışmanlığı, Cyclops'un botnet'i bozulmasından önce Rus askeri tehdit grubunda yanıp sönerek vahşi doğada kullanımını önleyerek sabitledi.
Sandworm, en az yirmi yıldır aktif olan bir grup elit Rus hacker, Rus Gru'nun Özel Teknolojiler Ana Merkezi'nin (GTSST) 74455 ünitesinin bir parçası olduğuna inanıyor.
Daha önce Ukrayna'daki bankaları hedefleyen Killdisk silecek saldırılarına ve 2015 ve 2016'nın Ukrayna kesintilerine yol açan saldırılarla bağlantılı olmuşlardır [1, 2, 3].
Sandworm'un Haziran 2017'den itibaren milyarlarca hasara neden olan Notpetya fidye yazılımı geliştirdiğine inanılıyor.
ABD Adalet Bakanlığı, Ekim 2020'de grubun operatörlerinden altısını Notpetya fidye yazılımı saldırısı, Pyeongchang 2018 Olimpiyat Kış Oyunları ve 2017 Fransız seçimleriyle bağlantılı koordinasyonla suçladı.
Ukrayna'daki fidye yazılımı saldırılarına bağlı Rus askeri hacker
Ukrayna, Rus hacktivistlerinin yeni Somnia fidye yazılımı kullandığını söylüyor
Rus Cybergangs bu yıl 50 milyondan fazla şifre çaldı
Lockbit Affiliate, fidye yazılımını dağıtmak için Amadey Bot kötü amaçlı yazılımları kullanır
Microsoft, Raspberry Robin solucanını fidye yazılımı saldırılarına bağlar
Kaynak: Bleeping Computer