Somnia Ransomware

Els pirates informàtics russos estan utilitzant una nova soca de ransomware rastrejada com Somnia, per interrompre les activitats normals dels objectius a Ucraïna. Després de la invasió russa del país d'Ucraïna, els investigadors d'infosec han informat contínuament d'un augment dràstic de les campanyes d'atac contra el govern ucraïnès i les entitats del sector privat. Els detalls sobre Somnia Ransomware i els seus operadors es van publicar al públic en un informe de CERT-UA (Equip de Resposta a Emergències Informàtiques d'Ucraïna).

Cadena d'infecció

Segons les seves troballes, els cibercriminals responsables dels atacs de Somnia pertanyen al que es creu que és un grup hacktivista prorús anomenat From Russia with Love (FRwL), també rastrejat com a Z-Team i UAC-0118. Els actors de l'amenaça van utilitzar l'eina de ransomware per afectar el funcionament dels sistemes automatitzats, així com les màquines informàtiques electròniques que pertanyen a l'objectiu violat.

Els experts d'Infosec adverteixen que FRwL utilitza una cadena d'infecció de diverses capes que inclou diverses eines amenaçadores diferents. Es confirma que el vector de compromís inicial és la descàrrega i l'execució d'un instal·lador armat disfressat com a programari "escàner IP avançat". El fitxer fals es distribueix a través de llocs web dedicats que imiten portals web legítims. Els empleats de l'organització objectiu que cauen en la trampa activaran i instal·laran l'amenaça Vidar Stealer als seus ordinadors.

Aleshores, els actors de l'amenaça utilitzen Vidar per obtenir les dades de la sessió de Telegram de la víctima i, posteriorment, prendre el control dels seus comptes. Els atacants utilitzen els comptes compromesos d'una manera que els permetrà recollir dades de connexió VPN. Si la VPN no té prou 2FA (autenticació de dos factors), els pirates informàtics FRwL tindrien accés no autoritzat a la xarxa corporativa de l'organització. Després, els cibercriminals estableixen una balisa Cobalt Strike i procedeixen a l'exfiltració de dades sensibles o a realitzar activitats de vigilància addicionals.

Detalls del ransomware Somnia

L'amenaça Somnia Ransomware pot afectar una gran quantitat de diferents tipus de fitxers i xifrar-los mitjançant un algorisme criptogràfic. Cada fitxer bloquejat tindrà ".somnia" afegit al seu nom original. Tot i que la majoria de les operacions de ransomware estan motivades econòmicament, aquest no és el cas de Somnia. Els atacants utilitzen la seva eina amenaçadora més com un netejador de dades que impedirà que la víctima accedeixi a les seves dades. Els atacants no demanen que se'ls pagui un rescat, ja que aquest no és el seu objectiu principal.

Els investigadors del CERT-UA assenyalen que Somnia sembla que encara està en desenvolupament actiu. Per exemple, les versions anteriors de l'amenaça estaven equipades i es basaven en l'algorisme simètric 3DES. Tanmateix, les iteracions posteriors es van canviar per executar l'algoritme AES per al xifratge dels tipus de fitxers orientats.