Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Penggodam Rusia menggunakan strain ransomware baharu yang dikesan sebagai Somnia, untuk mengganggu aktiviti biasa sasaran di Ukraine. Berikutan pencerobohan Rusia ke atas negara Ukraine, penyelidik infosec secara berterusan melaporkan peningkatan drastik dalam kempen serangan terhadap entiti sektor kerajaan dan swasta Ukraine. Butiran tentang Somnia Ransomware dan pengendalinya telah diterbitkan kepada umum dalam laporan oleh CERT-UA (Pasukan Tindak Balas Kecemasan Komputer Ukraine).

Rantaian Jangkitan

Menurut penemuan mereka, penjenayah siber yang bertanggungjawab terhadap serangan Somnia tergolong dalam kumpulan penggodam pro-Rusia bernama From Russia with Love (FRwL), juga dijejaki sebagai Z-Team dan UAC-0118. Pelaku ancaman menggunakan alat perisian tebusan untuk memberi kesan kepada operasi sistem automatik, serta mesin pengkomputeran elektronik milik sasaran yang dilanggar.

Pakar Infosec memberi amaran bahawa FRwL menggunakan rantai jangkitan berbilang lapisan yang melibatkan beberapa alat mengancam yang berbeza. Vektor kompromi awal disahkan sebagai muat turun dan pelaksanaan pemasang bersenjata yang menyamar sebagai perisian 'Pengimbas IP Lanjutan'. Fail palsu itu diedarkan melalui laman web khusus yang meniru portal Web yang sah. Kakitangan organisasi yang disasarkan yang jatuh ke dalam perangkap akan mengaktifkan dan memasang ancaman Vidar Stealer pada komputer mereka.

Pelakon ancaman kemudian menggunakan Vidar untuk mendapatkan data sesi Telegram mangsa dan seterusnya mengawal akaun mereka. Akaun yang terjejas dimanfaatkan oleh penyerang dengan cara yang membolehkan mereka mengumpul data sambungan VPN. Jika VPN kekurangan 2FA (Two-Factor Authentication) yang mencukupi, penggodam FRwL akan mendapat akses tanpa kebenaran kepada rangkaian korporat organisasi. Selepas itu, penjenayah siber mewujudkan suar Cobalt Strike dan meneruskan untuk mengeluarkan data sensitif atau melakukan aktiviti pengawasan tambahan.

Butiran Somnia Ransomware

Ancaman Somnia Ransomware boleh memberi kesan kepada sejumlah besar jenis fail yang berbeza dan menyulitkannya menggunakan algoritma kriptografi. Setiap fail yang dikunci akan mempunyai '.somnia' yang dilampirkan pada nama asalnya. Walaupun kebanyakan operasi perisian tebusan bermotifkan kewangan, ini tidak berlaku dengan Somnia. Penyerang menggunakan alat mengancam mereka lebih seperti pengelap data yang akan menghalang mangsa daripada mengakses data mereka. Penyerang tidak meminta untuk dibayar tebusan, kerana itu bukan matlamat utama mereka.

Para penyelidik di CERT-UA menyatakan bahawa Somnia nampaknya masih dalam pembangunan aktif. Sebagai contoh, versi awal ancaman telah dilengkapi dan bergantung pada algoritma 3DES simetri. Walau bagaimanapun, lelaran kemudian telah ditukar kepada menjalankan algoritma AES untuk penyulitan jenis fail yang disasarkan.

Trending

Paling banyak dilihat

Memuatkan...