Somnia Ransomware

Venemaa häkkerid kasutavad uut lunavaratüve nimega Somnia, et häirida Ukraina sihtmärkide tavapärast tegevust. Pärast Venemaa sissetungi Ukraina riiki on infoseci teadlased pidevalt teatanud Ukraina valitsuse ja erasektori üksuste vastu suunatud rünnakukampaaniate drastilisest kasvust. Üksikasjad Somnia Ransomware ja selle operaatorite kohta avaldati avalikkusele CERT-UA (Ukraina arvutihädaabimeeskond) aruandes.

Nakkusahel

Nende leidude kohaselt kuuluvad Somnia rünnakute eest vastutavad küberkurjategijad arvatavalt Venemaa-meelsesse häkkimisrühmitusse From Russia with Love (FRwL), mida jälgitakse ka nimetustega Z-Team ja UAC-0118. Ohutegijad kasutasid lunavaratööriista, et mõjutada nii automatiseeritud süsteemide kui ka murtud sihtmärgi hulka kuuluvate elektrooniliste arvutimasinate tööd.

Infoseci eksperdid hoiatavad, et FRwL kasutab mitmekihilist nakkusahelat, mis hõlmab mitmeid erinevaid ähvardavaid tööriistu. Kinnitatakse, et esialgne kompromissvektoriks on relvastatud installeri allalaadimine ja käivitamine, mis maskeerub kui täiustatud IP-skanneri tarkvara. Võltsfaili levitatakse spetsiaalsete veebisaitide kaudu, mis jäljendavad seaduslikke veebiportaale. Lõksu sattunud sihtorganisatsiooni töötajad aktiveerivad ja installivad oma arvutitesse Vidar Stealeri ohu.

Seejärel kasutavad ähvardused Vidarit ohvri Telegrami seansi andmete hankimiseks ja seejärel nende kontode kontrollimiseks. Ründajad kasutavad rikutud kontosid viisil, mis võimaldab neil VPN-ühenduse andmeid koguda. Kui VPN-il puudub piisav 2FA (kahefaktoriline autentimine), saavad FRwL-i häkkerid volitamata juurdepääsu organisatsiooni ettevõtte võrgule. Seejärel loovad küberkurjategijad Cobalt Strike'i majaka ja jätkavad tundlike andmete väljafiltreerimist või täiendavaid jälitustoiminguid.

Somnia lunavara üksikasjad

Somnia Ransomware oht võib mõjutada suurt hulka erinevaid failitüüpe ja krüptida need krüptograafilise algoritmi abil. Iga lukustatud faili algsele nimele lisatakse ".somnia". Kuigi enamik lunavaratoiminguid on rahaliselt motiveeritud, pole see Somnia puhul nii. Ründajad kasutavad oma ähvardamistööriista pigem andmepuhastina, mis ei lase ohvril oma andmetele juurde pääseda. Ründajad ei taotle lunaraha, kuna see pole nende peamine eesmärk.

CERT-UA teadlased märgivad, et Somnia näib olevat endiselt aktiivne arendustöö. Näiteks olid ohu varasemad versioonid varustatud ja toetusid sümmeetrilisele 3DES-algoritmile. Kuid hilisemad iteratsioonid lülitati sihitud failitüüpide krüptimiseks AES-algoritmi käitamiseks.