El equipo de investigación de ESET detectó una nueva ola de ataques de ransomware apuntando a múltiples organizaciones en Ucrania que comparten elementos con otras campañas desatadas anteriormente por el grupo de APT Sandworm.
Aunque este ransomware, apodado por ESET como RansomBoggs y escrito en .NET framework, es nuevo, en particular la forma en que se despliega se parece mucho a algunos ataques anteriores atribuidos a este conocido actor de amenazas.
ESET alertó al Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) sobre los ataques de RansomBoggs, que se detectaron por primera vez el 21 de noviembre. Según la variante, los productos ESET detectan RansomBoggs como MSIL/Filecoder.Sullivan.A y MSIL/Filecoder.RansomBoggs.A.
Un vistazo a RansomBoggs
En la nota de rescate que se observa arriba (SullivanDecryptsYourFiles.txt), los autores de RansomBoggs hacen múltiples referencias a la película Monsters Inc., incluso haciéndose pasar por James P. Sullivan, el protagonista principal de la película.
Una vez liberado, el nuevo ransomware "genera una clave aleatoria y cifra los archivos usando AES-256 en modo CBC" —no la longitud de clave AES de 128 bits mencionada en la nota de rescate. Luego agrega la extensión .chsch a los archivos cifrados.
“Luego, la clave es cifrada mediante RSA y se escribe en aes.bin”, dijeron los investigadores de ESET. Según la variante, la clave pública RSA está hardcodeada en la propia muestra de malware o se proporciona como argumento.
En cuanto a las similitudes con otros ataques de Sandworm, el script de PowerShell utilizado para distribuir RansomBoggs desde el controlador de dominio es casi idéntico al utilizado en los ataques de Industroyer2 contra el sector energético de Ucrania en abril de este año. El mismo script fue utilizado para distribuir el malware del tipo wiper llamado CaddyWiper que utilizó el loader ArguePatch y afectó a varias docenas de sistemas en un número limitado de organizaciones en Ucrania en marzo.
Ucrania bajo ataque
Sandworm tiene un largo historial como responsable de algunos de los ataques cibernéticos más disruptivos del mundo durante la última década. Su última aparición fue hace solo unas semanas después de que Microsoft lo señalara como responsable del ransomware llamado "Prestige" que afectó a varias empresas de logística en Ucrania y Polonia a principios de octubre.
Los ataques antes mencionados de ninguna manera dan una imagen completa de las diversas amenazas que las organizaciones ucranianas de alto perfil han tenido que enfrentar solo este año. Por mencionar un ejemplo, el 23 de febrero, apenas unas horas antes de que Rusia invadiera Ucrania, la telemetría de ESET detectó a HermeticWiper en las redes de varias organizaciones ucranianas. Al día siguiente, comenzó un segundo ataque con intenciones destructivas contra una red gubernamental ucraniana, esta vez desplegando IsaacWiper.
De hecho, Ucrania ha sido el blanco de una serie de ataques cibernéticos altamente disruptivos lanzados por Sandworm desde al menos 2014, incluidos BlackEnergy, GreyEnergy y la primera iteración de Industroyer. El grupo también estuvo detrás de los ataques de NotPetya que arrasaron muchas redes corporativas en Ucrania en junio de 2017 antes de propagarse a nivel mundial y causar estragos en muchas organizaciones de todo el mundo.
Lectura recomendada: Ciberataques a la infraestructura crítica de un país y sus consecuencias