ESETは11月28日(現地時間)、「RansomBoggs: New ransomware targeting Ukraine|WeLiveSecurity」において、ウクライナの組織を狙った新しいランサムウェアキャンペーンを発見したと伝えた。このキャンペーンは「Sandworm」と呼ばれている持続的標的型攻撃(APT: Advanced Persistent Threat)グループが以前に展開したキャンペーンの特徴に酷似しているとみられている。

  • RansomBoggs: New ransomware targeting Ukraine|WeLiveSecurity

    RansomBoggs: New ransomware targeting Ukraine|WeLiveSecurity

ESETのセキュリティリサーチチームが「RansomBoggs」と呼ばれている新たなランサムウェアを検知し、ウクライナコンピュータ緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)に報告していたことが明らかとなった。このランサムウェアはランダムなキーを生成し、Cipher Block Chaining(CBC)モードのAES-256を使用してファイルを暗号化するとされており、暗号化されたファイルには.chschという拡張子がつけられることが確認されている。

Sandwormによる攻撃の類似点として、RansomBoggsを配布するために使用されたPowerShellスクリプトが、今年4月にウクライナのエネルギーセクタに対するサイバー攻撃で使われたものとほぼ同じであることが挙げられている。このスクリプトはデータを消去するマルウェア「CaddyWiper」の配信にも使用されており、3月にウクライナ組織の数十台のシステムに対してサイバー攻撃を行ったという。

Sandwormは世界中で行われている複数の破壊的なサイバー攻撃に関与しているとみられており、今年に入り、ウクライナの有名企業や組織がSandwormを含むさまざまな脅威にさらされ続けていると報告されている。