L’Ukraine a subi une nouvelle vague d’attaques de rançongiciels qui reflètent les intrusions précédentes attribuées au groupe d’États-nations Sandworm basé en Russie. La société slovaque de cybersécurité ESET, qui a surnommé la nouvelle souche de ransomware RansomBoggs, a déclaré que les attaques contre plusieurs entités ukrainiennes avaient été détectées pour la première fois le 21 novembre 2022. « Bien que le malware écrit en .NET soit nouveau, son déploiement est similaire aux attaques précédentes attribuées à Sandworm », a déclaré la société dans une série de tweets vendredi. Le développement intervient alors que l’acteur Sandworm, suivi par Microsoft sous le nom d’Iridium, a été impliqué dans une série d’attaques visant les secteurs du transport et de la logistique en Ukraine et en Pologne avec une autre souche de ransomware appelée Prestige en octobre 2022. L’activité de RansomBoggs emploierait un script PowerShell pour distribuer le ransomware, ce dernier étant « presque identique » à celui utilisé dans les attaques de logiciels malveillants Industroyer2 qui ont été révélées en avril.
Selon l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA), le script PowerShell, nommé POWERGAP, a été utilisé pour déployer un logiciel malveillant d’effacement de données appelé CaddyWiper à l’aide d’un chargeur appelé ArguePatch (alias AprilAxe). L’analyse par ESET du nouveau rançongiciel montre qu’il génère une clé générée de manière aléatoire et crypte les fichiers à l’aide d’AES-256 en mode CBC et ajoute l’extension de fichier « .chsch ». Sandworm, un groupe de piratage adversaire d’élite au sein de l’agence de renseignement militaire russe GRU, a un bilan notoire de frappe d’infrastructures critiques au fil des ans. L’acteur de la menace a été lié aux cyberattaques NotPetya contre des hôpitaux et des installations médicales en 2017 et aux attaques destructrices contre le réseau électrique ukrainien en 2015 et 2016.