Ucrania ha sido objeto de una nueva avalancha de ataques de ransomware que reflejan intrusiones anteriores atribuidas al grupo de estado-nación Sandworm con sede en Rusia. La empresa eslovaca de ciberseguridad ESET, que denominó la nueva cepa de ransomware RansomBoggs, dijo que los ataques contra varias entidades ucranianas se detectaron por primera vez el 21 de noviembre de 2022.
El desarrollo se produce cuando el actor Sandworm, rastreado por Microsoft como Iridium, estuvo implicado en una serie de ataques dirigidos a los sectores de transporte y logística en Ucrania y Polonia con otra cepa de ransomware llamada Prestige en octubre de 2022.
Se dice que la actividad de RansomBoggs emplea un script de PowerShell para distribuir el ransomware, siendo el primero “casi idéntico” al utilizado en los ataques de malware Industroyer2 que salieron a la luz en abril.
En la nota de rescate que se ve arriba (SullivanDecryptsYourFiles.txt), los autores de RansomBoggs hacen múltiples referencias a la película Monsters Inc., incluso haciéndose pasar por James P. Sullivan, el protagonista principal de la película.
Una vez liberado, el nuevo ransomware “genera una clave aleatoria y cifra los archivos usando AES-256 en modo CBC”, no la longitud de la clave AES de 128 bits mencionada en la nota de rescate. Luego agrega la extensión .chsch a los archivos cifrados.
“Luego, la clave se cifra con RSA y se escribe en aes.bin”, dijeron los investigadores de ESET. Según la variante, la clave pública RSA está codificada en la muestra de malware o se proporciona como argumento.
