Somnia Ransomware

Ruski hakeri koriste novi soj ransomwarea praćen kao Somnia, kako bi ometali normalne aktivnosti meta u Ukrajini. Nakon ruske invazije na državu Ukrajinu, istraživači Infoseca kontinuirano su izvještavali o drastičnom porastu kampanja napada protiv ukrajinske vlade i subjekata iz privatnog sektora. Detalji o Somnia Ransomwareu i njegovim operaterima objavljeni su javnosti u izvješću CERT-UA (Ukrajinski tim za odgovor na računalne hitne slučajeve).

Lanac infekcije

Prema njihovim nalazima, kibernetički kriminalci odgovorni za napade na Somnia pripadaju onome za što se vjeruje da je proruska haktivistička skupina pod nazivom From Russia with Love (FRwL), koja se također prati kao Z-Team i UAC-0118. Akteri prijetnji koristili su alat za ucjenjivanje kako bi utjecali na rad automatiziranih sustava, kao i elektroničkih računalnih strojeva koji pripadaju probijenoj meti.

Stručnjaci Infoseca upozoravaju da FRwL koristi višeslojni lanac infekcije koji uključuje nekoliko različitih prijetećih alata. Potvrđeno je da je inicijalni vektor kompromisa preuzimanje i izvođenje instalacijskog programa s oružjem maskiranog kao softver 'Napredni IP skener'. Lažna datoteka se distribuira putem namjenskih web stranica koje oponašaju legitimne web portale. Zaposlenici ciljane organizacije koji upadnu u zamku aktivirat će i instalirati prijetnju Vidar Stealer na svoja računala.

Akteri prijetnje zatim koriste Vidar kako bi dobili podatke o sesiji Telegrama žrtve i zatim preuzeli kontrolu nad njihovim računima. Napadači koriste kompromitirane račune na način koji im omogućuje prikupljanje podataka o VPN vezi. Ako VPN-u nedostaje dovoljan 2FA (Two-Factor Authentication), FRwL hakeri bi dobili neovlašteni pristup korporativnoj mreži organizacije. Nakon toga kibernetički kriminalci uspostavljaju Cobalt Strike beacon i nastavljaju s eksfiltracijom osjetljivih podataka ili izvođenjem dodatnih aktivnosti nadzora.

Pojedinosti o Somnia Ransomwareu

Prijetnja Somnia Ransomware može utjecati na golemu količinu različitih vrsta datoteka i šifrirati ih pomoću kriptografskog algoritma. Svaka zaključana datoteka imat će '.somnia' dodan svom izvornom nazivu. Iako je većina operacija ransomwarea financijski motivirana, to nije slučaj sa Somniom. Napadači koriste svoj prijeteći alat više kao brisač podataka koji će spriječiti žrtvu u pristupu njihovim podacima. Napadači ne traže otkupninu jer im to nije glavni cilj.

Istraživači s CERT-UA primjećuju da se čini da je Somnia još uvijek u aktivnom razvoju. Na primjer, ranije verzije prijetnje bile su opremljene i oslanjale su se na simetrični 3DES algoritam. Međutim, kasnije su iteracije prebačene na izvođenje AES algoritma za enkripciju ciljanih vrsta datoteka.