Somnia рансъмуер

До Mezo през Ransomware, Advanced Persistent Threat (APT)г

Превод на:

Руски хакери използват нов ransomware щам, проследяван като Somnia, за да нарушат нормалните дейности на мишени в Украйна. След руското нахлуване в страната Украйна изследователите на инфосекцията непрекъснато съобщават за драстично увеличение на кампаниите за атаки срещу украинско правителство и субекти от частния сектор. Подробности за рансъмуера Somnia и неговите оператори бяха публикувани публично в доклад на CERT-UA (Екип за компютърно реагиране при извънредни ситуации на Украйна).

Инфекциозна верига

Според техните открития киберпрестъпниците, отговорни за атаките на Somnia, принадлежат към това, което се смята за проруска хактивистка група, наречена From Russia with Love (FRwL), също проследявана като Z-Team и UAC-0118. Актьорите на заплахата са използвали инструмента за рансъмуер, за да повлияят на работата на автоматизирани системи, както и на електронни изчислителни машини, принадлежащи на атакуваната цел.

Експертите на Infosec предупреждават, че FRwL използва многопластова верига за заразяване, която включва няколко различни заплашителни инструмента. Потвърдено е, че първоначалният компрометен вектор е изтеглянето и изпълнението на въоръжен инсталатор, маскиран като софтуер за „Advanced IP scanner“. Фалшивият файл се разпространява чрез специални уебсайтове, имитиращи законни уеб портали. Служителите на целевата организация, които попаднат в капана, ще активират и инсталират заплахата Vidar Stealer на своите компютри.

След това участниците в заплахата използват Vidar, за да получат данните за сесията на Telegram на жертвата и впоследствие да поемат контрола върху техните акаунти. Компрометираните акаунти се използват от нападателите по начин, който ще им позволи да събират данни за VPN връзка. Ако на VPN липсва достатъчно 2FA (двуфакторно удостоверяване), хакерите на FRwL ще получат неоторизиран достъп до корпоративната мрежа на организацията. След това киберпрестъпниците установяват маяк Cobalt Strike и продължават да ексфилтрират чувствителни данни или да извършват допълнителни дейности за наблюдение.

Подробности за рансъмуера Somnia

Заплахата от Somnia Ransomware може да повлияе на огромно количество различни типове файлове и да ги шифрова с помощта на криптографски алгоритъм. Всеки заключен файл ще има '.somnia', добавен към първоначалното му име. Докато повечето операции с ransomware са финансово мотивирани, това не е случаят със Somnia. Нападателите използват заплашителния си инструмент по-скоро като чистач на данни, който ще попречи на жертвата да получи достъп до техните данни. Нападателите не искат откуп, тъй като това не е основната им цел.

Изследователите от CERT-UA отбелязват, че Somnia изглежда все още е в процес на активно развитие. Например, по-ранните версии на заплахата бяха оборудвани и разчитаха на симетричния 3DES алгоритъм. По-късните итерации обаче бяха превключени към изпълнение на AES алгоритъма за криптиране на целевите типове файлове.