Somnia Ransomware

يستخدم المتسللون الروس سلسلة جديدة من برامج الفدية يتم تعقبها باسم Somnia ، لتعطيل الأنشطة العادية للأهداف في أوكرانيا. بعد الغزو الروسي لدولة أوكرانيا ، أبلغ باحثو إنفوسيك باستمرار عن زيادة كبيرة في حملات الهجوم ضد الحكومة الأوكرانية وكيانات القطاع الخاص. تم نشر تفاصيل حول Somnia Ransomware ومشغليها للجمهور في تقرير صادر عن CERT-UA (فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا).

سلسلة العدوى

وفقًا للنتائج التي توصلوا إليها ، فإن مجرمي الإنترنت المسؤولين عن هجمات Somnia ينتمون إلى ما يُعتقد أنه مجموعة قرصنة مؤيدة لروسيا تُدعى From Russia with Love (FRwL) ، تم تتبعها أيضًا باسم Z-Team و UAC-0118. استخدم ممثلو التهديد أداة ransomware للتأثير على تشغيل الأنظمة الآلية ، بالإضافة إلى أجهزة الحوسبة الإلكترونية التي تنتمي إلى الهدف الذي تم اختراقه.

يحذر خبراء Infosec من أن FRwL تستخدم سلسلة عدوى متعددة الطبقات تتضمن عدة أدوات تهديد مختلفة. تم التأكيد على أن ناقل التسوية الأولي هو تنزيل وتنفيذ مُثبِّت مُسلَّح يتنكر في صورة برنامج "ماسح IP متقدم". يتم توزيع الملف الوهمي من خلال مواقع ويب مخصصة تحاكي بوابات الويب الشرعية. سيقوم موظفو المؤسسة المستهدفة الذين يقعون في الفخ بتنشيط وتثبيت تهديد Vidar Stealer على أجهزة الكمبيوتر الخاصة بهم.

يستخدم المهاجمون بعد ذلك Vidar للحصول على بيانات جلسة Telegram للضحية ومن ثم السيطرة على حساباتهم. يتم الاستفادة من الحسابات المخترقة من قبل المهاجمين بطريقة تسمح لهم بجمع بيانات اتصال VPN. إذا كانت الشبكة الافتراضية الخاصة تفتقر إلى المصادقة الثنائية (Two-Factor Authentication) الكافية ، فإن قراصنة FRwL سيحصلون على وصول غير مصرح به إلى شبكة الشركة الخاصة بالمؤسسة. بعد ذلك ، أنشأ مجرمو الإنترنت منارة Cobalt Strike والمضي قدمًا في سرقة البيانات الحساسة أو القيام بأنشطة مراقبة إضافية.

تفاصيل Somnia Ransomware

يمكن أن يؤثر تهديد Somnia Ransomware على كمية هائلة من أنواع الملفات المختلفة وتشفيرها باستخدام خوارزمية تشفير. سيحتوي كل ملف مقفل على ".somnia" ملحق باسمه الأصلي. في حين أن معظم عمليات برامج الفدية لها دوافع مالية ، فإن هذا ليس هو الحال مع Somnia. يستخدم المهاجمون أداة التهديد الخاصة بهم مثل ممسحة البيانات التي ستمنع الضحية من الوصول إلى بياناتهم. لا يطلب المهاجمون دفع فدية ، لأن هذا ليس هدفهم الرئيسي.

لاحظ الباحثون في CERT-UA أن Somnia لا تزال قيد التطوير النشط. على سبيل المثال ، تم تجهيز الإصدارات السابقة من التهديد واعتمدت على خوارزمية 3DES المتماثلة. ومع ذلك ، تم تحويل التكرارات اللاحقة إلى تشغيل خوارزمية AES لتشفير أنواع الملفات المستهدفة.