Sonnia ransomware

Gli hacker russi stanno utilizzando un nuovo ceppo di ransomware identificato come Somnia, per interrompere le normali attività degli obiettivi in Ucraina. In seguito all'invasione russa del paese dell'Ucraina, i ricercatori di infosec hanno continuamente segnalato un drastico aumento delle campagne di attacco contro il governo ucraino e le entità del settore privato. I dettagli su Somnia Ransomware e sui suoi operatori sono stati resi pubblici in un rapporto del CERT-UA (Computer Emergency Response Team of Ukraine).

Catena di infezioni

Secondo le loro scoperte, i criminali informatici responsabili degli attacchi Somnia appartengono a quello che si ritiene essere un gruppo di hacktivisti filo-russo chiamato From Russia with Love (FRwL), rintracciato anche come Z-Team e UAC-0118. Gli autori delle minacce hanno utilizzato lo strumento ransomware per influire sul funzionamento dei sistemi automatizzati, nonché sulle macchine informatiche elettroniche appartenenti all'obiettivo violato.

Gli esperti di Infosec avvertono che FRwL utilizza una catena di infezione a più livelli che coinvolge diversi strumenti minacciosi. Si conferma che il vettore di compromesso iniziale è il download e l'esecuzione di un programma di installazione armato mascherato da software "Advanced IP scanner". Il file falso viene distribuito attraverso siti Web dedicati che imitano portali Web legittimi. I dipendenti dell'organizzazione presa di mira che cadono nella trappola attiveranno e installeranno la minaccia Vidar Stealer sui loro computer.

Gli autori delle minacce utilizzano quindi Vidar per ottenere i dati della sessione di Telegram della vittima e successivamente assumere il controllo dei propri account. Gli account compromessi vengono sfruttati dagli aggressori in un modo che consentirà loro di raccogliere dati di connessione VPN. Se la VPN non dispone di sufficiente 2FA (autenticazione a due fattori), gli hacker FRwL otterrebbero l'accesso non autorizzato alla rete aziendale dell'organizzazione. Successivamente, i criminali informatici stabiliscono un beacon Cobalt Strike e procedono a esfiltrare dati sensibili o eseguire ulteriori attività di sorveglianza.

I dettagli del ransomware Somnia

La minaccia Somnia Ransomware può avere un impatto su una grande quantità di diversi tipi di file e crittografarli utilizzando un algoritmo crittografico. Ogni file bloccato avrà '.somnia' aggiunto al suo nome originale. Mentre la maggior parte delle operazioni ransomware sono motivate finanziariamente, questo non è il caso di Somnia. Gli aggressori usano il loro strumento minaccioso più come un tergicristallo di dati che impedirà alla vittima di accedere ai propri dati. Gli aggressori non chiedono il pagamento di un riscatto, poiché non è questo il loro obiettivo principale.

I ricercatori del CERT-UA notano che Somnia sembra essere ancora in fase di sviluppo attivo. Ad esempio, le versioni precedenti della minaccia erano equipaggiate e si basavano sull'algoritmo simmetrico 3DES. Tuttavia, le iterazioni successive sono passate all'esecuzione dell'algoritmo AES per la crittografia dei tipi di file mirati.