به گزارش کارگروه بینالملل سایبربان؛ حملات باج افزار جدیدی که نهادهای اوکراینی را هدف قرار دادند و برای اولین بار در روز دوشنبه شناسایی شدند، به گروه روسی سندوورم نسبت داده شدند.
شرکت نرمافزاری اسلواکی ESET که اولین بار این موج حملات را مشاهده کرد، مدعی است باج افزاری که کارشناسان این شرکت آن را رنسوم باگز نامیدهاند در شبکههای چندین نهاد اوکراینی پیدا شده است.
آزمایشگاه تحقیقاتی ESET دراینباره گفت:
گرچه این بدافزار جدید به زبان دات نت نوشتهشده؛ اما نحوه بهکارگیری آن مشابه حملات قبلی گروه سندوورم است. شباهتهایی با حملات قبلی انجامشده توسط گروه سندوورم وجود دارد. برای مثال در این حمله برای توزیع باج افزار از کنترلکننده دامنه، از یک اسکریپت پاور شت استفاده شده، تقریباً مشابه همان چیزی که آوریل گذشته در جریان حملات Industroyer2 علیه بخش انرژی اوکراین مشاهده شد.
اسکریپت پاور شت مورد استفاده برای استقرار باج افزار رنسوم باگز در شبکههای قربانیان بهعنوان POWERGAP شناخته میشود و همچنین عامل تحویل بدافزار مخرب کَدی وایپر در حملات علیه سازمانهای اوکراینی در ماه مارس بود.
هنگامی که رنسوم باگز در شبکه قربانی قرار میگیرد، فایلها را با استفاده از AES-256 در حالت CBC با استفاده از یک کلید تصادفی رمزگذاری میکند و یک پسوند chsch را به همه فایلهای رمزگذاری شده اضافه میکند.
