Overslaan en naar de inhoud gaan

Nieuw cyberoffensief op Oekraïne: gerichte ransomware

Meerdere organisaties in Oekraïne zijn het doelwit van een geheel nieuw gecreëerd stuk ransomware. Ontdekkers bij securityleverancier ESET hebben het RansomBoggs genoemd en gelijk gemeld bij het Computer Emergency Response Team van Oekraïne (CERT-UA). De manier waarop dit verse aanvalsmiddel wordt ingezet, heeft veel kenmerken van een bekende cybercrimegroep die nauw verbonden zou zijn met de Russische overheid.
ransomware
© Shutterstock.com
Shutterstock.com

Het gaat om de zogeheten Sandworm-groep die naar verluidt onderdeel is van de Russische militaire inlichtingendienst GROe (GRU in het Engels). Dezelfde groep cyberaanvallers (ook wel bekend als Unit 74455) zou ook achter eerdere gerichte aanvallen op Oekraïne zitten, waaronder de 2015-hack van het elektriciteitsnetwerk en de 2017-aanvallen met de beruchte NotPetya-malware. Bij laatstgenoemde hack zijn toen diverse overheidsorganisaties en bedrijven in het Russische buurland gecompromitteerd, maar ook organisaties wereldwijd. NotPetya wist zich namelijk snel en volautomatisch te verspreiden, mede dankzij gebruik van een uitgelekte exploittool die de Amerikaanse inlichtingendienst NSA had gemaakt.

Energie, transport, steun voor Oekraïne

NotPetya was door het gebruik van die NSA-tool veel gevaarlijker dan de oorspronkelijke Petya-ransomware, die werd verspreid via geïnfecteerde e-mails. De nu opgedoken gijzelingssoftware RansomBoggs is geheel nieuw, geschreven in .NET. De distributie van deze digitale dreiging gebeurt met middelen en methodes die bijna identiek zijn aan de Industroyer 2-aanvallen op Oekraïense energie-infrastructuur van april dit jaar, merkt securityleverancier ESET op.

In de afpersingsmelding geven de aanvallers aan dat ze 128-bit encryptie (AES) toepassen op de bestanden van slachtoffers, maar uit onderzoek van ESET blijkt dat het om 256-bit encryptie (AES in CBC-modus) gaat. De eerste aanvallen met deze geheel nieuwe ransomware zijn op 21 november al uitgevoerd.

Sandworm is een nogal actieve aanvalsgroep die als doelwitten tegenstanders van het Russische regime heeft. Zo zit deze groep volgens Microsoft ook achter recente ransomware-aanvallen op transportbedrijven in Oekraïne en Polen. (Microsoft hanteert de eigen naam Iridium voor de Sandworm-groep.) Organisaties die steun verlenen aan Oekraïne in het verzet tegen Rusland zouden dus ook risico lopen om cyberaanvallen op zich af te krijgen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in