باج افزار Somnia

هکرهای روسی از باج‌افزار جدیدی استفاده می‌کنند که با نام Somnia ردیابی می‌شود تا فعالیت‌های عادی اهداف در اوکراین را مختل کنند. پس از تهاجم روسیه به کشور اوکراین، محققان infosec به طور مداوم افزایش شدید کمپین های حمله علیه دولت و نهادهای بخش خصوصی اوکراین را گزارش کرده اند. جزئیات مربوط به باج افزار Somnia و اپراتورهای آن در گزارشی توسط CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) برای عموم منتشر شد.

زنجیره عفونت

بر اساس یافته‌های آن‌ها، مجرمان سایبری مسئول حملات Somnia متعلق به گروهی هستند که گمان می‌رود یک گروه هکری طرفدار روسیه به نام From Russia with Love (FRwL) هستند که با نام‌های Z-Team و UAC-0118 نیز ردیابی می‌شوند. عوامل تهدید از ابزار باج افزار برای تأثیرگذاری بر عملکرد سیستم های خودکار و همچنین ماشین های محاسبات الکترونیکی متعلق به هدف نقض شده استفاده کردند.

کارشناسان Infosec هشدار می‌دهند که FRwL از یک زنجیره عفونت چند لایه استفاده می‌کند که شامل چندین ابزار مختلف تهدیدکننده است. تایید شده است که بردار سازش اولیه، دانلود و اجرای یک نصب کننده مسلح شده است که به عنوان نرم افزار «اسکنر IP پیشرفته» ظاهر می شود. فایل جعلی از طریق وب سایت های اختصاصی تقلید از پورتال های وب قانونی توزیع می شود. کارمندان سازمان مورد نظر که گرفتار تله می شوند، تهدید Vidar Stealer را فعال و بر روی رایانه خود نصب می کنند.

سپس عوامل تهدید از ویدار برای به دست آوردن اطلاعات جلسه تلگرام قربانی استفاده می کنند و متعاقباً کنترل حساب های آنها را در دست می گیرند. اکانت های در معرض خطر توسط مهاجمان به گونه ای مورد استفاده قرار می گیرند که به آنها اجازه می دهد داده های اتصال VPN را جمع آوری کنند. اگر VPN فاقد 2FA (تأیید هویت دو عاملی) کافی باشد، هکرهای FRwL به شبکه شرکتی سازمان دسترسی غیرمجاز خواهند داشت. پس از آن، مجرمان سایبری یک فانوس Cobalt Strike ایجاد می کنند و اقدام به استخراج داده های حساس یا انجام فعالیت های نظارتی اضافی می کنند.

جزئیات باج افزار Somnia

تهدید باج‌افزار Somnia می‌تواند بر تعداد زیادی از انواع فایل‌های مختلف تأثیر بگذارد و آنها را با استفاده از یک الگوریتم رمزنگاری رمزگذاری کند. هر فایل قفل شده دارای ".somnia" به نام اصلی خود خواهد بود. در حالی که بیشتر عملیات های باج افزار انگیزه مالی دارند، این مورد در مورد Somnia صدق نمی کند. مهاجمان از ابزار تهدید کننده خود بیشتر شبیه پاک کن داده استفاده می کنند که از دسترسی قربانی به داده های آنها جلوگیری می کند. مهاجمان درخواست باج نمی کنند، زیرا این هدف اصلی آنها نیست.

محققان در CERT-UA خاطرنشان می کنند که به نظر می رسد Somnia هنوز در حال توسعه فعال است. به عنوان مثال، نسخه های قبلی تهدید مجهز شده بودند و بر الگوریتم متقارن 3DES متکی بودند. با این حال، تکرارهای بعدی به اجرای الگوریتم AES برای رمزگذاری انواع فایل های مورد نظر تغییر داده شد.