近日,TheHackerNews网站披露,乌克兰遭受新一轮勒索软件攻击。斯洛伐克网络安全公司ESET将新勒索软件称为RansomBoggs,并表示它针对的是乌克兰实体,该实体于2022年11月21日首次被发现。在上周的一系列推文中,ESET强调,虽然用.NET编写的恶意软件是新的,但其部署模式非常复杂类似于以前的沙虫攻击。值得一提的是,被微软追踪为Iridium的Sandworm组织疑似在2022年10月使用另一种名为Prestige的勒索软件对乌克兰和波兰的交通和物流部门发起了一系列攻击。据了解,RansomBoggs活动使用的是PowerShell用于分发与4月份暴露的Industrial2恶意软件攻击中使用的脚本“几乎相同”的勒索软件的脚本。根据乌克兰计算机紧急响应小组(CERT-UA)的说法,名为POWERGAP的PowerShell脚本用于部署名为CaddyWiper的数据擦除恶意软件,使用名为ArguePatch(又名AprilAxe)设备的有效载荷。ESET对新型RansomBoggs勒索病毒的分析表明,在攻击过程中,它会生成一个随机密钥,以CBC模式使用AES-256加密文件,并附加“.chsch”文件扩展名。Sandworm是俄罗斯GRU军事情报机构的精英反黑客组织,多年来在破坏关键基础设施方面有着臭名昭著的记录。证据表明该黑客组织与2017年针对医院和医疗设施的NotPetya网络攻击以及2015年和2016年对乌克兰电网的破坏性攻击有关。
