सोमनिया रैंसमवेयर
रूसी हैकर यूक्रेन में लक्ष्यों की सामान्य गतिविधियों को बाधित करने के लिए सोम्निया के रूप में ट्रैक किए गए एक नए रैनसमवेयर स्ट्रेन का उपयोग कर रहे हैं। यूक्रेन देश पर रूसी आक्रमण के बाद, infosec शोधकर्ताओं ने लगातार यूक्रेनी सरकार और निजी क्षेत्र की संस्थाओं के खिलाफ हमले के अभियानों में भारी वृद्धि की सूचना दी है। सोम्निया रैंसमवेयर और इसके संचालकों के बारे में विवरण CERT-UA (यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम) की एक रिपोर्ट में जनता के लिए प्रकाशित किया गया था।
संक्रमण श्रृंखला
उनके निष्कर्षों के अनुसार, सोमनिया हमलों के लिए जिम्मेदार साइबर अपराधियों का संबंध एक रूस समर्थक हैक्टिविस्ट समूह से है, जिसका नाम फ्रॉम रशिया विद लव (FRwL) है, जिसे Z-टीम और UAC-0118 के रूप में भी ट्रैक किया गया है। खतरे वाले अभिनेताओं ने रैनसमवेयर टूल का उपयोग स्वचालित सिस्टम के संचालन को प्रभावित करने के साथ-साथ उल्लंघन किए गए लक्ष्य से संबंधित इलेक्ट्रॉनिक कंप्यूटिंग मशीनों को प्रभावित करने के लिए किया।
Infosec विशेषज्ञ चेतावनी देते हैं कि FRwL एक बहुस्तरीय संक्रमण श्रृंखला का उपयोग करता है जिसमें कई, अलग-अलग खतरनाक उपकरण शामिल होते हैं। प्रारंभिक समझौता वेक्टर की पुष्टि 'उन्नत आईपी स्कैनर' सॉफ़्टवेयर के रूप में एक हथियारयुक्त इंस्टॉलर के डाउनलोड और निष्पादन के रूप में की जाती है। वैध वेब पोर्टलों की नकल करने वाली समर्पित वेबसाइटों के माध्यम से फर्जी फाइल वितरित की जा रही है। जाल में फंसने वाले लक्षित संगठन के कर्मचारी सक्रिय हो जाएंगे और अपने कंप्यूटरों पर विदर चोरी करने वाले खतरे को स्थापित कर देंगे।
धमकी देने वाले तब पीड़ित के टेलीग्राम सत्र डेटा प्राप्त करने के लिए विडार का उपयोग करते हैं और बाद में उनके खातों को नियंत्रित करते हैं। समझौता किए गए खातों का हमलावरों द्वारा इस तरह से उपयोग किया जाता है जो उन्हें वीपीएन कनेक्शन डेटा एकत्र करने की अनुमति देगा। यदि वीपीएन में पर्याप्त 2FA (टू-फैक्टर ऑथेंटिकेशन) की कमी है, तो FRwL हैकर्स संगठन के कॉर्पोरेट नेटवर्क तक अनधिकृत पहुंच प्राप्त करेंगे। बाद में, साइबर अपराधी एक कोबाल्ट स्ट्राइक बीकन स्थापित करते हैं और संवेदनशील डेटा की घुसपैठ या अतिरिक्त निगरानी गतिविधियों को अंजाम देने के लिए आगे बढ़ते हैं।
सोमनिया रैंसमवेयर विवरण
सोम्निया रैनसमवेयर का खतरा बड़ी मात्रा में विभिन्न फ़ाइल प्रकारों को प्रभावित कर सकता है और क्रिप्टोग्राफ़िक एल्गोरिथम का उपयोग करके उन्हें एन्क्रिप्ट कर सकता है। प्रत्येक लॉक की गई फ़ाइल के मूल नाम के साथ '.somnia' जुड़ा होगा। जबकि अधिकांश रैंसमवेयर ऑपरेशन आर्थिक रूप से प्रेरित होते हैं, सोमनिया के मामले में ऐसा नहीं है। हमलावर अपने धमकी देने वाले टूल का उपयोग डेटा वाइपर की तरह अधिक करते हैं जो पीड़ित को उनके डेटा तक पहुंचने से रोकेगा। हमलावर फिरौती का भुगतान करने का अनुरोध नहीं करते, क्योंकि यह उनका मुख्य लक्ष्य नहीं है।
सीईआरटी-यूए के शोधकर्ताओं ने ध्यान दिया कि सोमनिया अभी भी सक्रिय विकास के अधीन प्रतीत होता है। उदाहरण के लिए, खतरे के पुराने संस्करण सुसज्जित थे और सममित 3DES एल्गोरिथम पर निर्भर थे। हालाँकि, बाद के पुनरावृत्तियों को लक्षित फ़ाइल प्रकारों के एन्क्रिप्शन के लिए AES एल्गोरिथम चलाने के लिए स्विच किया गया था।
