Somnia Ransomware

Rusijos įsilaužėliai naudoja naują išpirkos reikalaujančią programinę įrangą, vadinamą Somnia, kad sutrikdytų įprastą taikinių veiklą Ukrainoje. Po Rusijos invazijos į Ukrainos šalį infosec tyrėjai nuolat praneša apie drastiškai išaugusias atakų kampanijas prieš Ukrainos vyriausybę ir privataus sektoriaus subjektus. Išsami informacija apie „Somnia Ransomware“ ir jos operatorius buvo paskelbta visuomenei CERT-UA (Ukrainos kompiuterinio reagavimo komanda) ataskaitoje.

Infekcijos grandinė

Remiantis jų išvadomis, kibernetiniai nusikaltėliai, atsakingi už Somnia atakas, priklauso, kaip manoma, prorusiškai įsilaužėlių grupei, pavadintai From Russia with Love (FRwL), taip pat sekamai kaip Z-Team ir UAC-0118. Grėsmės dalyviai naudojo išpirkos reikalaujantį įrankį, kad paveiktų automatizuotų sistemų, taip pat elektroninių skaičiavimo mašinų, priklausančių pažeistam taikiniui, veikimą.

Infosec ekspertai perspėja, kad FRwL naudoja daugiasluoksnę infekcijos grandinę, apimančią keletą skirtingų grėsmingų įrankių. Patvirtinta, kad pradinis kompromiso vektorius yra ginkluotos diegimo programos, prisidengiančios kaip „Išplėstinis IP skaitytuvas“, atsisiuntimas ir vykdymas. Suklastotas failas platinamas per tam skirtas svetaines, imituojančias teisėtus interneto portalus. Į spąstus pakliuvę tikslinės organizacijos darbuotojai suaktyvins ir savo kompiuteriuose įdiegs Vidar Stealer grėsmę.

Tada grėsmės veikėjai naudoja Vidarą, kad gautų aukos „Telegram“ seanso duomenis ir vėliau perimtų jų paskyrų kontrolę. Pažeistas paskyras užpuolikai naudoja taip, kad jie galėtų rinkti VPN ryšio duomenis. Jei VPN trūksta 2FA (dviejų faktorių autentifikavimo), FRwL įsilaužėliai gautų neteisėtą prieigą prie organizacijos įmonės tinklo. Po to kibernetiniai nusikaltėliai sukuria „ Cobalt Strike“ švyturį ir imasi slaptų duomenų išfiltravimo arba papildomos stebėjimo veiklos.

„Somnia Ransomware“ informacija

„Somnia Ransomware“ grėsmė gali paveikti daugybę skirtingų failų tipų ir užšifruoti juos naudodama kriptografinį algoritmą. Prie kiekvieno užrakinto failo pradinio pavadinimo bus pridėta „.somnia“. Nors dauguma išpirkos reikalaujančių operacijų yra finansiškai motyvuotos, Somnia taip nėra. Užpuolikai savo grasinimo įrankį naudoja labiau kaip duomenų valytuvą, kuris neleis aukai pasiekti savo duomenų. Užpuolikai neprašo jiems sumokėti išpirkos, nes tai nėra pagrindinis jų tikslas.

CERT-UA mokslininkai pažymi, kad Somnia vis dar aktyviai vystoma. Pavyzdžiui, ankstesnės grėsmės versijos buvo įrengtos ir rėmėsi simetriniu 3DES algoritmu. Tačiau vėliau iteracijos buvo perjungtos į AES algoritmą, skirtą tikslinių failų tipų šifravimui.