RansomBoggs zsarolóvírus
Az ESET kutatói azonosítottak egy támadási hullámot, ami az általuk RansomBoggs-nak nevezett zsarolóprogramot használta, több ukrán szervezet hálózatán. A .NET-ben írt rosszindulatú program új, telepítése hasonló a Sandwormnak tulajdonított korábbi támadásokhoz. A tartományvezérlőről származó .NET ransomware terjesztésére használt PowerShell-szkript szinte teljesen megegyezik azzal, amelyet tavaly áprilisban az Industroyer2 energiaszektor elleni támadásai során használt a Sandworm, amelyet az orosz katonai csoporttal hozták összefüggésbe.
A PowerShell-szkript, amellyel a RansomBoggs kódjait telepítette az áldozatok hálózatára, POWERGAP néven ismert, és az ukrán szervezetek elleni támadások során márciusban a CaddyWiper is használt.
A kártékony kód AES-256 szinten titkosítja a fájlokat egy véletlenszerű kulccsal (véletlenszerűen generált, RSA-titkosított és az aes.bin-re írt), és .chsch kiterjesztést használja.