썸니아 랜섬웨어

러시아 해커들은 Somnia로 추적되는 새로운 랜섬웨어 변종을 사용하여 우크라이나에서 표적의 정상적인 활동을 방해하고 있습니다. 러시아의 우크라이나 침공 이후 Infosec 연구원들은 우크라이나 정부와 민간 부문 기관에 대한 공격 캠페인이 급격히 증가했다고 지속적으로 보고했습니다. Somnia Ransomware 및 그 운영자에 대한 세부 정보는 CERT-UA(우크라이나 컴퓨터 비상 대응 팀)의 보고서에서 대중에게 공개되었습니다.

감염 사슬

그들의 조사 결과에 따르면, Somnia 공격에 책임이 있는 사이버 범죄자들은 Z-Team 및 UAC-0118로도 추적되는 FRwL(From Russia with Love)이라는 친러시아 핵티비스트 그룹으로 추정되는 조직에 속해 있습니다. 위협 행위자는 랜섬웨어 도구를 사용하여 위반 대상에 속하는 전자 컴퓨팅 시스템뿐만 아니라 자동화 시스템의 작동에 영향을 미쳤습니다.

Infosec 전문가들은 FRwL이 여러 위협 도구가 포함된 다층 감염 체인을 활용한다고 경고합니다. 초기 침해 벡터는 '고급 IP 스캐너' 소프트웨어로 가장한 무기화된 설치 프로그램의 다운로드 및 실행으로 확인되었습니다. 가짜 파일은 합법적인 웹 포털을 모방한 전용 웹사이트를 통해 유포되고 있습니다. 함정에 빠진 대상 조직의 직원은 자신의 컴퓨터에 Vidar Stealer 위협을 활성화하고 설치합니다.

그런 다음 위협 행위자는 Vidar를 사용하여 피해자의 Telegram 세션 데이터를 획득하고 이후 계정을 제어합니다. 손상된 계정은 공격자가 VPN 연결 데이터를 수집할 수 있는 방식으로 활용됩니다. VPN에 2FA(2단계 인증)가 충분하지 않으면 FRwL 해커가 조직의 회사 네트워크에 무단으로 액세스할 수 있습니다. 그 후 사이버 범죄자는 Cobalt Strike 비콘을 설치하고 민감한 데이터를 빼내거나 추가 감시 활동을 수행합니다.

Somnia 랜섬웨어 세부 정보

Somnia 랜섬웨어 위협은 방대한 양의 다양한 파일 형식에 영향을 미치고 암호화 알고리즘을 사용하여 파일을 암호화할 수 있습니다. 잠긴 각 파일에는 원래 이름에 '.somnia'가 추가됩니다. 대부분의 랜섬웨어 운영은 재정적 동기가 있지만 Somnia는 그렇지 않습니다. 공격자는 피해자가 데이터에 액세스하지 못하도록 하는 데이터 와이퍼와 같은 위협적인 도구를 사용합니다. 공격자는 몸값 지불을 요청하지 않습니다. 이것이 주요 목표가 아니기 때문입니다.

CERT-UA의 연구원들은 Somnia가 여전히 활발하게 개발되고 있는 것으로 보인다고 지적합니다. 예를 들어, 이전 버전의 위협은 대칭 3DES 알고리즘을 갖추고 의존했습니다. 그러나 이후 반복은 대상 파일 유형의 암호화를 위해 AES 알고리즘 실행으로 전환되었습니다.