Somnia Ransomware

Ρώσοι χάκερ χρησιμοποιούν ένα νέο στέλεχος ransomware που παρακολουθείται ως Somnia, για να διαταράξουν τις κανονικές δραστηριότητες των στόχων στην Ουκρανία. Μετά τη ρωσική εισβολή στη χώρα της Ουκρανίας, οι ερευνητές του infosec ανέφεραν συνεχώς μια δραστική αύξηση των εκστρατειών επίθεσης εναντίον οντοτήτων της ουκρανικής κυβέρνησης και του ιδιωτικού τομέα. Λεπτομέρειες σχετικά με το Somnia Ransomware και τους χειριστές του δημοσιεύτηκαν στο κοινό σε μια αναφορά από το CERT-UA (Computer Emergency Response Team of Ukraine).

Αλυσίδα μόλυνσης

Σύμφωνα με τα ευρήματά τους, οι κυβερνοεγκληματίες που ευθύνονται για τις επιθέσεις Somnia ανήκουν σε μια φιλορωσική ομάδα χακτιβιστών που ονομάζεται From Russia with Love (FRwL), η οποία επίσης παρακολουθείται ως Z-Team και UAC-0118. Οι φορείς απειλών χρησιμοποίησαν το εργαλείο ransomware για να επηρεάσουν τη λειτουργία αυτοματοποιημένων συστημάτων, καθώς και ηλεκτρονικών υπολογιστικών μηχανών που ανήκουν στον παραβιασμένο στόχο.

Οι ειδικοί της Infosec προειδοποιούν ότι το FRwL χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών επιπέδων που περιλαμβάνει πολλά, διαφορετικά απειλητικά εργαλεία. Το αρχικό διάνυσμα συμβιβασμού έχει επιβεβαιωθεί ότι είναι η λήψη και η εκτέλεση ενός οπλισμένου προγράμματος εγκατάστασης που μεταμφιέζεται ως λογισμικό «Advanced IP scanner». Το ψεύτικο αρχείο διανέμεται μέσω αποκλειστικών ιστοσελίδων που μιμούνται νόμιμες πύλες Ιστού. Οι υπάλληλοι της στοχευμένης οργάνωσης που πέφτουν στην παγίδα θα ενεργοποιήσουν και θα εγκαταστήσουν την απειλή Vidar Stealer στους υπολογιστές τους.

Στη συνέχεια, οι φορείς της απειλής χρησιμοποιούν το Vidar για να λάβουν τα δεδομένα της περιόδου λειτουργίας Telegram του θύματος και στη συνέχεια να αναλάβουν τον έλεγχο των λογαριασμών τους. Οι παραβιασμένοι λογαριασμοί αξιοποιούνται από τους εισβολείς με τρόπο που θα τους επιτρέψει να συλλέγουν δεδομένα σύνδεσης VPN. Εάν το VPN δεν διαθέτει επαρκή έλεγχο ταυτότητας 2FA (Two-Factor Authentication), οι χάκερ FRwL θα αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο εταιρικό δίκτυο του οργανισμού. Στη συνέχεια, οι εγκληματίες του κυβερνοχώρου δημιουργούν ένα Cobalt Strike beacon και προχωρούν σε διείσδυση ευαίσθητων δεδομένων ή σε πρόσθετες δραστηριότητες παρακολούθησης.

The Somnia Ransomware Λεπτομέρειες

Η απειλή Somnia Ransomware μπορεί να επηρεάσει έναν τεράστιο αριθμό διαφορετικών τύπων αρχείων και να τους κρυπτογραφήσει χρησιμοποιώντας έναν κρυπτογραφικό αλγόριθμο. Κάθε κλειδωμένο αρχείο θα έχει ".somnia" προσαρτημένο στο αρχικό του όνομα. Ενώ οι περισσότερες λειτουργίες ransomware έχουν οικονομικά κίνητρα, αυτό δεν συμβαίνει με το Somnia. Οι εισβολείς χρησιμοποιούν το απειλητικό εργαλείο τους περισσότερο σαν υαλοκαθαριστήρα δεδομένων που θα εμποδίσει το θύμα να έχει πρόσβαση στα δεδομένα του. Οι επιτιθέμενοι δεν ζητούν να πληρωθούν λύτρα, καθώς δεν είναι αυτός ο κύριος στόχος τους.

Οι ερευνητές στο CERT-UA σημειώνουν ότι το Somnia φαίνεται να βρίσκεται ακόμα υπό ενεργό ανάπτυξη. Για παράδειγμα, προηγούμενες εκδόσεις της απειλής ήταν εξοπλισμένες και βασίζονταν στον συμμετρικό αλγόριθμο 3DES. Ωστόσο, μεταγενέστερες επαναλήψεις άλλαξαν στην εκτέλεση του αλγόριθμου AES για την κρυπτογράφηση των στοχευμένων τύπων αρχείων.