Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Az orosz hackerek egy új, Somnia néven nyomon követett zsarolóvírus-törzset használnak, hogy megzavarják az ukrajnai célpontok szokásos tevékenységét. Ukrajna orosz invázióját követően az infosec kutatói folyamatosan arról számoltak be, hogy drasztikusan megnőtt az ukrán kormány és a magánszektor szervezetei elleni támadási kampányok száma. A Somnia Ransomware szoftverrel és üzemeltetőivel kapcsolatos részleteket a CERT-UA (Computer Emergency Response Team of Ukraine) tette közzé a nyilvánosság számára.

Fertőzési lánc

Megállapításaik szerint a Somnia támadásokért felelős kiberbűnözők egy Oroszország-barát hacktivista csoporthoz tartoznak, a From Russia with Love (FRwL), amelyet Z-Team és UAC-0118 néven is követnek. A fenyegetés szereplői a ransomware eszközt használták arra, hogy befolyásolják az automatizált rendszerek, valamint a megsértett célponthoz tartozó elektronikus számítástechnikai gépek működését.

Az Infosec szakértői arra figyelmeztetnek, hogy az FRwL többrétegű fertőzési láncot használ, amely több különböző fenyegető eszközt foglal magában. Megerősítették, hogy a kezdeti kompromisszumos vektor egy fegyveres telepítő letöltése és végrehajtása, amely „Speciális IP-szkenner” szoftvernek álcázza magát. A hamis fájlt dedikált webhelyeken terjesztik, amelyek legitim webportálokat imitálnak. A megcélzott szervezet csapdába esett alkalmazottai aktiválják és telepítik számítógépükre a Vidar Stealer fenyegetést.

A fenyegetőző szereplők ezután Vidart használják, hogy megszerezzék az áldozat Telegram munkamenetének adatait, és ezt követően átvegyék az irányítást a fiókjaik felett. A feltört fiókokat a támadók úgy használják ki, hogy VPN-kapcsolati adatokat gyűjtsenek. Ha a VPN nem rendelkezik elegendő 2FA-val (kéttényezős hitelesítés), az FRwL-hackerek jogosulatlanul hozzáférhetnek a szervezet vállalati hálózatához. Ezt követően a kiberbűnözők létrehoznak egy Cobalt Strike jeladót, és folytatják az érzékeny adatok kiszűrését vagy további megfigyelési tevékenységeket.

A Somnia Ransomware részletei

A Somnia Ransomware fenyegetés rengeteg különböző fájltípust érinthet, és titkosíthatja azokat egy kriptográfiai algoritmus segítségével. Minden zárolt fájl eredeti nevéhez fűződik a „.somnia”. Míg a legtöbb zsarolóvírus-művelet anyagilag motivált, a Somnia esetében nem ez a helyzet. A támadók fenyegető eszközüket inkább adattörlőként használják, amely megakadályozza, hogy az áldozat hozzáférjen adataihoz. A támadók nem kérnek váltságdíjat, mivel nem ez a fő céljuk.

A CERT-UA kutatói megjegyzik, hogy a Somnia még mindig aktív fejlesztés alatt áll. Például a fenyegetés korábbi verziói a szimmetrikus 3DES algoritmusra támaszkodtak. A későbbi iterációk azonban átálltak az AES algoritmus futtatására a megcélzott fájltípusok titkosítására.

Felkapott

Legnézettebb

Betöltés...