Somnia Ransomware

Venäläiset hakkerit käyttävät uutta Somnia-nimellä jäljitettyä kiristysohjelmakantaa häiritäkseen kohteiden normaalia toimintaa Ukrainassa. Venäjän hyökkäyksen Ukrainaan jälkeen infosec-tutkijat ovat jatkuvasti raportoineet Ukrainan hallitusta ja yksityisen sektorin toimijoita vastaan suunnattujen hyökkäyskampanjoiden jyrkästä lisääntymisestä. Yksityiskohdat Somnia Ransomwaresta ja sen operaattoreista julkaistiin yleisölle CERT-UA:n (Computer Emergency Response Team of Ukraine) raportissa.

Infektioketju

Heidän havaintojensa mukaan Somnia-hyökkäyksistä vastuussa olevat kyberrikolliset kuuluvat Venäjä-myönteiseen hacktivistiryhmään nimeltä From Russia with Love (FRwL), jota jäljitetään myös nimellä Z-Team ja UAC-0118. Uhkatoimijat käyttivät ransomware-työkalua vaikuttaakseen automatisoitujen järjestelmien toimintaan sekä rikotun kohteen elektronisiin tietokoneisiin.

Infosecin asiantuntijat varoittavat, että FRwL käyttää monikerroksista infektioketjua, joka sisältää useita erilaisia uhkaavia työkaluja. Alkuperäisen kompromissivektorin on vahvistettu olevan "Advanced IP Scanner" -ohjelmistoksi naamioituneen aseistetun asennusohjelman lataaminen ja suorittaminen. Väärennettyä tiedostoa levitetään laillisia verkkoportaaleja jäljittelevien verkkosivustojen kautta. Kohteena olevan organisaation työntekijät, jotka joutuvat ansaan, aktivoivat ja asentavat Vidar Stealer -uhan tietokoneilleen.

Uhkailijat käyttävät sitten Vidaria saadakseen uhrin Telegram-istuntotiedot ja ottavat sitten tilinsä hallintaansa. Hyökkääjät hyödyntävät vaarantuneita tilejä tavalla, joka mahdollistaa VPN-yhteystietojen keräämisen. Jos VPN:stä puuttuu riittävä 2FA (Two-Factor Authentication), FRwL-hakkerit saisivat luvattoman pääsyn organisaation yritysverkkoon. Myöhemmin kyberrikolliset perustavat Cobalt Strike -majakan ja jatkavat arkaluontoisten tietojen suodattamista tai lisävalvontatoimia.

Somnia Ransomwaren tiedot

Somnia Ransomware -uhka voi vaikuttaa suureen määrään erilaisia tiedostotyyppejä ja salata ne salausalgoritmilla. Jokaisen lukitun tiedoston alkuperäiseen nimeen on liitetty ".somnia". Vaikka useimmat ransomware-toiminnot ovat taloudellisesti motivoituja, Somnian tapauksessa näin ei ole. Hyökkääjät käyttävät uhkaustyökaluaan enemmän kuin tietojen pyyhkijää, joka estää uhria pääsemästä tietoihinsa. Hyökkääjät eivät vaadi lunnaita, koska se ei ole heidän päätavoitteensa.

CERT-UA:n tutkijat huomauttavat, että Somnia näyttää olevan edelleen aktiivisen kehityksen alla. Esimerkiksi uhan aiemmat versiot varustettiin ja luottivat symmetriseen 3DES-algoritmiin. Myöhemmät iteraatiot kuitenkin siirrettiin käyttämään AES-algoritmia kohdetiedostotyyppien salaamiseksi.