Nieuw cyberoffensief op Oekraïne: gerichte ransomware

Het gaat om de zogeheten Sandworm-groep die naar verluidt onderdeel is van de Russische militaire inlichtingendienst GROe (GRU in het Engels). Dezelfde groep cyberaanvallers (ook wel bekend als Unit 74455) zou ook achter eerdere gerichte aanvallen op Oekraïne zitten, waaronder de 2015-hack van het elektriciteitsnetwerk en de 2017-aanvallen met de beruchte NotPetya-malware. Bij laatstgenoemde hack zijn toen diverse overheidsorganisaties en bedrijven in het Russische buurland gecompromitteerd, maar ook organisaties wereldwijd. NotPetya wist zich namelijk snel en volautomatisch te verspreiden, mede dankzij gebruik van een uitgelekte exploittool die de Amerikaanse inlichtingendienst NSA had gemaakt.

Energie, transport, steun voor Oekraïne

NotPetya was door het gebruik van die NSA-tool veel gevaarlijker dan de oorspronkelijke Petya-ransomware, die werd verspreid via geïnfecteerde e-mails. De nu opgedoken gijzelingssoftware RansomBoggs is geheel nieuw, geschreven in .NET. De distributie van deze digitale dreiging gebeurt met middelen en methodes die bijna identiek zijn aan de Industroyer 2-aanvallen op Oekraïense energie-infrastructuur van april dit jaar, merkt securityleverancier ESET op.

In de afpersingsmelding geven de aanvallers aan dat ze 128-bit encryptie (AES) toepassen op de bestanden van slachtoffers, maar uit onderzoek van ESET blijkt dat het om 256-bit encryptie (AES in CBC-modus) gaat. De eerste aanvallen met deze geheel nieuwe ransomware zijn op 21 november al uitgevoerd.

Sandworm is een nogal actieve aanvalsgroep die als doelwitten tegenstanders van het Russische regime heeft. Zo zit deze groep volgens Microsoft ook achter recente ransomware-aanvallen op transportbedrijven in Oekraïne en Polen. (Microsoft hanteert de eigen naam Iridium voor de Sandworm-groep.) Organisaties die steun verlenen aan Oekraïne in het verzet tegen Rusland zouden dus ook risico lopen om cyberaanvallen op zich af te krijgen.