Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

ពួក Hacker រុស្សីកំពុងប្រើប្រាស់មេរោគ ransomware ថ្មីមួយដែលត្រូវបានតាមដានថាជា Somnia ដើម្បីរំខានដល់សកម្មភាពធម្មតារបស់គោលដៅក្នុងប្រទេសអ៊ុយក្រែន។ បន្ទាប់ពីការលុកលុយរបស់រុស្ស៊ីមកលើប្រទេសអ៊ុយក្រែន អ្នកស្រាវជ្រាវ infosec បានរាយការណ៍ជាបន្តបន្ទាប់អំពីការកើនឡើងយ៉ាងខ្លាំងនៃយុទ្ធនាការវាយប្រហារប្រឆាំងនឹងរដ្ឋាភិបាលអ៊ុយក្រែន និងអង្គភាពវិស័យឯកជន។ ព័ត៌មានលម្អិតអំពី Somnia Ransomware និងប្រតិបត្តិកររបស់វាត្រូវបានផ្សព្វផ្សាយជាសាធារណៈនៅក្នុងរបាយការណ៍មួយដោយ CERT-UA (ក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រនៃអ៊ុយក្រែន)។

ខ្សែសង្វាក់ឆ្លង

យោងតាមការរកឃើញរបស់ពួកគេ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលទទួលខុសត្រូវចំពោះការវាយប្រហាររបស់ Somnia ជាកម្មសិទ្ធិរបស់ក្រុមដែលគេជឿថាជាក្រុម hacktivist គាំទ្ររុស្ស៊ីដែលមានឈ្មោះថា From Russia with Love (FRwL) ក៏ត្រូវបានតាមដានផងដែរដូចជា Z-Team និង UAC-0118 ។ តួអង្គគម្រាមកំហែងបានប្រើប្រាស់ឧបករណ៍ ransomware ដើម្បីជះឥទ្ធិពលដល់ប្រតិបត្តិការនៃប្រព័ន្ធស្វ័យប្រវត្តិ ក៏ដូចជាម៉ាស៊ីនកុំព្យូទ័រអេឡិចត្រូនិចដែលជាកម្មសិទ្ធិរបស់គោលដៅដែលបានបំពាន។

អ្នកជំនាញ Infosec ព្រមានថា FRwL ប្រើប្រាស់ខ្សែសង្វាក់ឆ្លងពហុស្រទាប់ ដែលពាក់ព័ន្ធនឹងឧបករណ៍គំរាមកំហែងផ្សេងៗគ្នាជាច្រើន។ វ៉ិចទ័រសម្របសម្រួលដំបូងត្រូវបានបញ្ជាក់ថាជាការទាញយក និងដំណើរការកម្មវិធីដំឡើងអាវុធដែលក្លែងបន្លំជាកម្មវិធី 'Advanced IP scanner'។ ឯកសារក្លែងបន្លំកំពុងត្រូវបានចែកចាយតាមរយៈគេហទំព័រពិសេសដែលធ្វើត្រាប់តាមវិបផតថលស្របច្បាប់។ បុគ្គលិកនៃអង្គការគោលដៅដែលធ្លាក់ក្នុងអន្ទាក់នឹងធ្វើឱ្យសកម្ម និងដំឡើងការគំរាមកំហែង Vidar Stealer នៅលើកុំព្យូទ័ររបស់ពួកគេ។

បន្ទាប់មកអ្នកគំរាមកំហែងប្រើប្រាស់ Vidar ដើម្បីទទួលបានទិន្នន័យវគ្គ Telegram របស់ជនរងគ្រោះ ហើយគ្រប់គ្រងគណនីរបស់ពួកគេជាបន្តបន្ទាប់។ គណនីដែលត្រូវបានសម្របសម្រួលត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារតាមរបៀបមួយដែលនឹងអនុញ្ញាតឱ្យពួកគេប្រមូលទិន្នន័យការតភ្ជាប់ VPN ។ ប្រសិនបើ VPN ខ្វះ 2FA (Two-Factor Authentication) គ្រប់គ្រាន់នោះ ពួក Hacker FRwL នឹងទទួលបានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតទៅកាន់បណ្តាញសាជីវកម្មរបស់អង្គការ។ ក្រោយមក ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានបង្កើតសញ្ញា Cobalt Strike beacon ហើយបន្តធ្វើការទាញយកទិន្នន័យរសើប ឬធ្វើសកម្មភាពឃ្លាំមើលបន្ថែម។

ព័ត៌មានលម្អិត Somnia Ransomware

ការគំរាមកំហែង Somnia Ransomware អាចប៉ះពាល់ដល់ចំនួនដ៏ច្រើននៃប្រភេទឯកសារផ្សេងៗគ្នា និងអ៊ិនគ្រីបពួកវាដោយប្រើក្បួនដោះស្រាយគ្រីប។ ឯកសារចាក់សោនីមួយៗនឹងមាន '.somnia' បន្ថែមទៅឈ្មោះដើមរបស់វា។ ខណៈពេលដែលប្រតិបត្តិការ ransomware ភាគច្រើនត្រូវបានលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ នេះមិនមែនជាករណីជាមួយ Somnia ទេ។ អ្នកវាយប្រហារប្រើឧបករណ៍គម្រាមកំហែងរបស់ពួកគេដូចជា wiper ទិន្នន័យដែលនឹងការពារជនរងគ្រោះពីការចូលប្រើទិន្នន័យរបស់ពួកគេ។ អ្នកវាយប្រហារមិនស្នើសុំឱ្យបង់ប្រាក់លោះទេ ព្រោះនោះមិនមែនជាគោលដៅចម្បងរបស់ពួកគេ

អ្នកស្រាវជ្រាវនៅ CERT-UA កត់សម្គាល់ថា Somnia ហាក់ដូចជានៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍សកម្ម។ ជាឧទាហរណ៍ កំណែមុននៃការគំរាមកំហែងត្រូវបានបំពាក់ និងពឹងផ្អែកលើក្បួនដោះស្រាយ 3DES ស៊ីមេទ្រី។ ទោះយ៉ាងណាក៏ដោយ ការធ្វើឡើងវិញនៅពេលក្រោយត្រូវបានប្តូរទៅដំណើរការ AES algorithm សម្រាប់ការអ៊ិនគ្រីបនៃប្រភេទឯកសារគោលដៅ។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...