Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Ruští hackeři používají nový kmen ransomwaru sledovaný jako Somnia, aby narušili běžné aktivity cílů na Ukrajině. Po ruské invazi na Ukrajinu výzkumníci společnosti Infosec neustále hlásili drastický nárůst útočných kampaní proti ukrajinským vládním a soukromým subjektům. Podrobnosti o Somnia Ransomware a jeho provozovatelích byly zveřejněny ve zprávě CERT-UA (Computer Emergency Response Team of Ukraine).

Infekční řetězec

Podle jejich zjištění patří kyberzločinci zodpovědní za útoky Somnia k tomu, co se považuje za proruskou hacktivistickou skupinu s názvem From Russia with Love (FRwL), která je také sledována jako Z-Team a UAC-0118. Aktéři hrozeb použili nástroj ransomwaru k ovlivnění provozu automatizovaných systémů a také elektronických výpočetních strojů patřících k napadenému cíli.

Odborníci Infosec varují, že FRwL využívá vícevrstvý infekční řetězec, který zahrnuje několik různých ohrožujících nástrojů. Potvrzuje se, že počátečním kompromisním vektorem je stažení a spuštění ozbrojeného instalátoru vydávajícího se za software „pokročilého IP skeneru“. Falešný soubor je distribuován prostřednictvím vyhrazených webových stránek napodobujících legitimní webové portály. Zaměstnanci cílové organizace, kteří padnou do pasti, aktivují a nainstalují hrozbu Vidar Stealer na své počítače.

Aktéři hrozby pak pomocí Vidaru získají data relace telegramu oběti a následně převezmou kontrolu nad jejich účty. Útočníci využívají napadené účty způsobem, který jim umožní shromažďovat data připojení VPN. Pokud VPN postrádá dostatečné 2FA (dvoufaktorové ověřování), hackeři FRwL by získali neoprávněný přístup do podnikové sítě organizace. Poté kyberzločinci vytvoří maják Cobalt Strike a pokračují v exfiltraci citlivých dat nebo v provádění dalších sledovacích činností.

Podrobnosti o ransomwaru Somnia

Hrozba Somnia Ransomware může ovlivnit velké množství různých typů souborů a zašifrovat je pomocí kryptografického algoritmu. Každý zamčený soubor bude mít ke svému původnímu názvu připojeno '.somnia'. Zatímco většina operací s ransomwarem je finančně motivována, u Somnie tomu tak není. Útočníci používají svůj výhružný nástroj spíše jako stěrač dat, který oběti zabrání v přístupu k jejich datům. Útočníci nežádají o zaplacení výkupného, protože to není jejich hlavním cílem.

Výzkumníci z CERT-UA poznamenávají, že Somnia se zdá být stále v aktivním vývoji. Například dřívější verze hrozby byly vybaveny a spoléhaly na symetrický algoritmus 3DES. Pozdější iterace však byly převedeny na spuštění algoritmu AES pro šifrování cílových typů souborů.

Trendy

Nejvíce shlédnuto

Načítání...