Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Krievijas hakeri izmanto jaunu izspiedējvīrusu celmu, kas izsekots kā Somnia, lai izjauktu parasto mērķu darbību Ukrainā. Pēc Krievijas iebrukuma Ukrainas valstī infosec pētnieki nepārtraukti ziņoja par krasu uzbrukumu kampaņu pieaugumu Ukrainas valdībai un privātā sektora struktūrām. Sīkāka informācija par Somnia Ransomware un tās operatoriem tika publicēta CERT-UA (Ukrainas datoru ārkārtas reaģēšanas komanda) ziņojumā.

Infekcijas ķēde

Saskaņā ar viņu atklājumiem kibernoziedznieki, kas atbildīgi par Somnijas uzbrukumiem, pieder prokrieviskai hakeru grupai No Krievijas ar mīlestību (FRwL), kas tiek izsekota arī kā Z-Team un UAC-0118. Apdraudējuma dalībnieki izmantoja izspiedējvīrusu rīku, lai ietekmētu automatizēto sistēmu darbību, kā arī elektroniskās skaitļošanas iekārtas, kas pieder pārkāptajam mērķim.

Infosec eksperti brīdina, ka FRwL izmanto daudzslāņu infekcijas ķēdi, kas ietver vairākus, dažādus apdraudošus rīkus. Ir apstiprināts, ka sākotnējais kompromisa vektors ir ieroču instalēšanas programmas lejupielāde un izpilde, kas tiek maskēta kā programmatūra “Advanced IP scanner”. Viltus fails tiek izplatīts, izmantojot īpašas vietnes, kas imitē likumīgus tīmekļa portālus. Mērķa organizācijas darbinieki, kuri iekrīt slazdā, aktivizēs un instalēs Vidar Stealer draudus savos datoros.

Pēc tam draudu dalībnieki izmanto Vidar, lai iegūtu upura Telegram sesijas datus un pēc tam pārņemtu kontroli pār saviem kontiem. Uzbrucēji izmanto apdraudētos kontus tādā veidā, kas ļaus viņiem apkopot VPN savienojuma datus. Ja VPN trūkst pietiekamas 2FA (divu faktoru autentifikācijas), FRwL hakeri iegūtu nesankcionētu piekļuvi organizācijas korporatīvajam tīklam. Pēc tam kibernoziedznieki izveido Cobalt Strike bāku un turpina sensitīvu datu izfiltrēšanu vai papildu novērošanas darbības.

Sīkāka informācija par Somnia Ransomware

Somnia Ransomware draudi var ietekmēt ļoti daudz dažādu failu tipu un šifrēt tos, izmantojot kriptogrāfisku algoritmu. Katram bloķētajam failam tā sākotnējam nosaukumam būs pievienots “.somnia”. Lai gan lielākā daļa izspiedējvīrusu operāciju ir finansiāli motivētas, Somnia tas tā nav. Uzbrucēji savu draudu rīku izmanto vairāk kā datu tīrītāju, kas neļaus upurim piekļūt saviem datiem. Uzbrucēji neprasa izpirkuma maksu, jo tas nav viņu galvenais mērķis.

CERT-UA pētnieki atzīmē, ka Somnija joprojām tiek aktīvi izstrādāta. Piemēram, iepriekšējās draudu versijas bija aprīkotas un balstījās uz simetrisko 3DES algoritmu. Tomēr vēlākās iterācijas tika pārslēgtas uz AES algoritma darbināšanu mērķa failu tipu šifrēšanai.

Tendences

Visvairāk skatīts

Notiek ielāde...