Actus

Les nouvelles attaques de ransomware en Ukraine sont liées aux pirates russes Sandworm

Par Philippe Ternision , le 29 novembre 2022 , mis à jour le 29 novembre 2022 - 3 minutes de lecture
hacker russie
Notez l'article

Les attaques de ransomware ciblant des organisations ukrainiennes ont été liées à l’infâme groupe de menaces militaires russes Sandworm, qui a été identifié pour la première fois ce lundi.

Le ransomware qu’ils ont nommé RansomBoggs aurait été découvert sur les réseaux de nombreuses organisations ukrainiennes, selon l’éditeur slovaque de logiciels ESET, qui a été le premier à remarquer cette vague d’attaques.

Malgré sa nouveauté, la distribution du malware .NET ressemble aux précédentes attaques liées à Sandworm, selon les laboratoires de recherche d’ESET.

Un script PowerShell utilisé pour diffuser le ransomware .NET à partir du contrôleur de domaine est presque identique à celui vu en avril lors des attaques Industroyer2 contre le secteur de l’énergie, ce qui indique des similitudes avec les précédentes attaques Sandworm.

POWERGAP, un script PowerShell, est responsable de la diffusion du malware destructeur CaddyWiper lors d’attaques contre des organisations ukrainiennes en mars. Il était également responsable du déploiement des charges utiles RansomBoggs sur les réseaux des victimes.

Une fois qu’il a été distribué sur le réseau d’une victime, RansomBoggs chiffre les fichiers avec AES-256 en mode CBC à l’aide d’une clé générée de manière aléatoire, chiffrée en RSA et écrite dans aes.bin. Tous les fichiers chiffrés se voient ensuite ajouter une extension .chsch.

La clé publique RSA peut être codée en dur dans le malware lui-même ou fournie en entrée, selon la version de l’attaque utilisée.

Le ransomware laisse également des notes de rançon sur les systèmes cryptés en se faisant passer pour James P. Sullivan, le personnage principal du film Monsters, Inc. D’autres références peuvent être trouvées dans le code du logiciel malveillant.

RansomBoggs ransom note
Note de rançon de RansomBoggs (ESET)

Au début du mois, Microsoft a également établi un lien entre le groupe de cyberespionnage Sandworm, connu par Redmond sous le nom d’IRIDIUM, et les attaques de ransomware Prestige qui visent depuis octobre des entreprises de logistique et de transport en Ukraine et en Pologne.

Selon MSTIC, “la campagne Prestige peut mettre en évidence un changement réfléchi dans le calcul d’IRIDIUM pour les attaques destructrices, signalant un risque accru pour les organisations fournissant ou transportant directement de l’aide humanitaire ou militaire en Ukraine.”

“Plus généralement, elle peut représenter un risque accru pour les organisations d’Europe de l’Est que l’État russe peut considérer comme fournissant un soutien lié à la guerre.”

Le botnet Cyclops Blink a été lié au groupe de menace militaire russe en février, selon un avis de sécurité conjoint des organisations de cybersécurité des États-Unis et du Royaume-Uni, qui a empêché son utilisation dans la nature.

Connu sous le nom d’Unité 74455 du Centre principal des technologies spéciales du GRU russe, Sandworm est un groupe d’élite de hackers russes actifs depuis au moins deux décennies.

Ils ont déjà été liés à des attaques qui ont abouti aux attaques par essuyage KillDisk qui ont visé des banques ukrainiennes et aux pannes d’électricité du pays en 2015 et 2016 [1, 2, 3].

Sandworm est également soupçonné d’avoir créé le ransomware NotPetya, qui a commencé à causer d’énormes dégâts en juin 2017.

Six membres du groupe ont été accusés de coordonner des opérations de piratage liées à l’attaque du ransomware NotPetya, aux Jeux olympiques d’hiver de PyeongChang 2018 et aux élections françaises de 2017 par le ministère américain de la Justice en octobre 2020.

  • Asmodee Exploding Kittens - Nsfw (vf)
    dans cette nouvelle version plus trash et seulement pour adultes de la roulette russe, prenez garde aux chatons qui explosent, sous peine daamp;#39;etre elimine de la partie !nafin dreviter un sort cruel aux matous, les joueurs peuvent utiliser des cartes speciales pour attaquer les autres participants, regarder la pile ou deplacer le chat explosif !nnexploding kittens : nsfw edition est une version strictement reserve aux adultes du celebre jeu qui revisite la roulette russe.nelle contient laamp;#39;integralite des cartes daamp;#39;exploding kittens, mais chacune de leurs illustrations a ete remplacee par un dessin trop horrible/incroyable pour la version standard.nvous pouvez utiliser cette edition toute seule ou la combiner avec un autre paquet afin de rassembler jusquaamp;#39;a 9 joueurs.
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.