Az ESET szoftvercég elemzői RansomBoggs néven hivatkoznak arra a zsarolóprogramra, amelyet felfedezésük szerint a Sandworm orosz kiberbűnözői csoport vetett be ukrajnai szervezetek ellen. A kutatói szerint több intézmény hálózatában is megtalálták a RansomBoggs teleptéseit, amelynek bizonyos aspektusai eltérnek ugyan a Sandwormhoz kapcsolt rosszindulatú programoktól (a kártevő kódja például a .NET keretrendszert használja), de a telepítési módszerek hasonlóak: egy alkalmazott PowerShell szkript szinte teljesen meg is egyezik azzal, amellyel tavaly áprilisban az energiaszektor elleni támadások során találkoztak.

Ez utóbbit az ukránok PowerGap-ként jelölik, és szerintük márciusban a CaddyWiper kártevő szállítására is használtak. A RansomBoggs sa beszámolók alapján karikatúraszerű hangulatot ad a súlyos támadásaihoz, a Pixar Szörny Rt. (Monsters, Inc.) animációs filmjére utalva a "Kedves emberi életforma!" megszólítást használja, és a szövegektől egészen a kódokig tele van a filmre való hivatkozásokkal. A zsarolóprogram egy véletlenszerű kulcsot generál, melyet az RSA algoritmussal véd, magukat az érintett fájlokat pedig az AES szabványok szerint titkosítja. Az ESET állítólag már több mint egy hete értesítette felfedezéseiről az ukrán kiberbiztonsági tisztviselőket.

Egyre bővül a célpontok köre

A beszámolók is emlékeztetnek rá, hogy a Sandworm a GRU, az orosz katonai hírszerzés egyik egységéhez kapcsolódik, és aktivitását a 90-es évekig vezetik vissza. Velük hozzák összefüggésbe a NotPetya ransomware fejlesztését is. A csoport a Krím 2014-es orosz megszállása során és azt követően Ukrajnát vette célba. Az Egyesült Államok tavasszal már több millió dolláros pénzjutalmat hirdetett a Sandwormmal és az amerikai kritikus infrastruktúra elleni feltételezett támadásokkal kapcsolatos információkért, a Microsoft pedig – ahol a Sandwormot Iridiumként említik – a Prestige ransomware-re figyelmeztetett, amelyet az ukrajnai és lengyelországi logisztikai ágazatok ellen vetettek be.

A Microsoft Security Threat Intelligence részlegének jelentée szerint a Sandwormm aktívan résztvevője az Ukrajna elleni háborúnak, ahol a coport már a kezdetektől pusztító támadásokhoz kapcsolható. A Prestige-kampányt azonban még ebben is elmozdulásnak tekintik, amennyiben már a humanitárius segítséget nyújtó szervezetekre nézve is közvetlen kockázatként értékelik – sőt a Microsoft szerint tágabb értelemben minden olyan a kelet-európai szervezetet veszélyeztet, amelyről az orosz állam úgy gondolja, hogy szerepe van a háborúval összefüggő támogatásokban.