Somnia Ransomware
Russiske hackere bruker en ny løsepengevare-stamme sporet som Somnia, for å forstyrre de normale aktivitetene til mål i Ukraina. Etter den russiske invasjonen av landet Ukraina har infosec-forskere kontinuerlig rapportert om en drastisk økning i angrepskampanjene mot ukrainske myndigheter og enheter i privat sektor. Detaljer om Somnia Ransomware og dens operatører ble publisert for offentligheten i en rapport fra CERT-UA (Computer Emergency Response Team of Ukraine).
Infeksjonskjede
Ifølge funnene deres tilhører nettkriminelle som er ansvarlige for Somnia-angrepene det som antas å være en pro-russisk hacktivistgruppe kalt From Russia with Love (FRwL), også sporet som Z-Team og UAC-0118. Trusselaktørene brukte løsepengevareverktøyet til å påvirke driften av automatiserte systemer, samt elektroniske datamaskiner som tilhører det brutte målet.
Infosec-eksperter advarer om at FRwL bruker en flerlags infeksjonskjede som involverer flere forskjellige truende verktøy. Den første kompromissvektoren er bekreftet å være nedlasting og kjøring av et våpeninstallert installasjonsprogram som er maskert som 'Avansert IP-skanner'-programvare. Den falske filen blir distribuert gjennom dedikerte nettsteder som imiterer legitime nettportaler. Ansatte i den målrettede organisasjonen som faller for fellen vil aktivere og installere Vidar Stealer -trusselen på datamaskinene sine.
Trusselaktørene bruker deretter Vidar for å få tak i offerets Telegram-sesjonsdata og deretter ta kontroll over kontoene deres. De kompromitterte kontoene utnyttes av angriperne på en måte som lar dem samle inn VPN-tilkoblingsdata. Hvis VPN-en mangler tilstrekkelig 2FA (tofaktorautentisering) vil FRwL-hackerne få uautorisert tilgang til organisasjonens bedriftsnettverk. Etterpå etablerer nettkriminelle et Cobalt Strike -fyrtårn og fortsetter med å eksfiltrere sensitive data eller utføre ytterligere overvåkingsaktiviteter.
Detaljer om Somnia Ransomware
Somnia Ransomware-trusselen kan påvirke en stor mengde forskjellige filtyper og kryptere dem ved hjelp av en kryptografisk algoritme. Hver låst fil vil ha '.somnia' vedlagt sitt opprinnelige navn. Mens de fleste løsepengevareoperasjoner er økonomisk motiverte, er dette ikke tilfellet med Somnia. Angriperne bruker sitt truende verktøy mer som en datavisker som vil hindre offeret i å få tilgang til dataene deres. Angriperne ber ikke om å få utbetalt løsepenger, siden det ikke er hovedmålet deres.
Forskerne ved CERT-UA bemerker at Somnia fortsatt ser ut til å være under aktiv utvikling. For eksempel var tidligere versjoner av trusselen utstyrt og stolte på den symmetriske 3DES-algoritmen. Imidlertid ble senere iterasjoner byttet til å kjøre AES-algoritmen for kryptering av de målrettede filtypene.