近日，The Hacker News 網(wǎng)站披露，烏克蘭遭受新一輪勒索軟件攻擊，斯洛伐克網(wǎng)絡(luò)安全公司 ESET 將新型勒索軟件稱為 RansomBoggs，并表示針對烏克蘭實體的攻擊于 2022 年 11 月 21 日首次發(fā)現(xiàn)。

ESET 在上周一系列推文中強調(diào)：雖然用 .NET 編寫的惡意軟件是新型的，但其部署模式與之前的 Sandworm（沙蟲）攻擊非常相似。

值得一提的是，被微軟追蹤為 Iridium 的 Sandworm 組織涉嫌于 2022 年 10 月使用另一種名為 Prestige 的勒索軟件對烏克蘭和波蘭運輸和物流部門發(fā)動一系列攻擊。

據(jù)悉，RansomBoggs 攻擊活動使用 PowerShell 腳本分發(fā)勒索軟件，后者與 4 月份曝光的 Industrier2 惡意軟件攻擊中使用的腳本“幾乎相同”。

據(jù)烏克蘭計算機應(yīng)急小組（CERT-UA）稱，這個名為 POWERGAP 的 PowerShell 腳本被用來部署一個名為 CaddyWiper 的數(shù)據(jù)清除惡意軟件，過程中使用的是一個被稱為 ArguePatch（又名 AprilAxe）的加載器。

ESET 對 RansomBoggs 新勒索軟件分析表明，在攻擊過程中，它會生成一個隨機密鑰，在 CBC 模式下使用 AES-256 加密文件，并附加“.chsch”文件擴(kuò)展名。

沙蟲（Sandworm）是俄羅斯 GRU 軍事情報機構(gòu)的一個精英對抗黑客組織，多年來在打擊關(guān)鍵基礎(chǔ)設(shè)施方面有著臭名昭著的記錄。

有證據(jù)表明，該黑客組織與 2017 年針對醫(yī)院和醫(yī)療設(shè)施的 NotPetya 網(wǎng)絡(luò)攻擊，以及 2015 年和 2016 年針對烏克蘭電網(wǎng)的破壞性攻擊有關(guān)。