Somnia Ransomware

रूसी ह्याकरहरूले युक्रेनमा लक्ष्यहरूको सामान्य गतिविधिहरूलाई बाधा पुर्‍याउन सोम्नियाको रूपमा ट्र्याक गरिएको नयाँ ransomware स्ट्रेन प्रयोग गरिरहेका छन्। युक्रेनको देशमा रूसी आक्रमण पछि, इन्फोसेक अनुसन्धानकर्ताहरूले युक्रेनी सरकार र निजी क्षेत्रका संस्थाहरू विरुद्ध आक्रमण अभियानहरूमा लगातार वृद्धि भएको रिपोर्ट गरेका छन्। Somnia Ransomware र यसका अपरेटरहरूको बारेमा विवरणहरू CERT-UA (युक्रेनको कम्प्युटर इमर्जेन्सी रेस्पोन्स टोली) द्वारा एक रिपोर्टमा सार्वजनिक गरिएको थियो।

संक्रमण चेन

तिनीहरूका खोजहरूका अनुसार, सोम्निया आक्रमणका लागि जिम्मेवार साइबर अपराधीहरू फ्रम रूस विथ लभ (FRwL) नामक रुस समर्थक ह्याक्टिभिष्ट समूहका हुन्, जसलाई Z-Team र UAC-0118 को रूपमा पनि ट्र्याक गरिएको छ। धम्की दिने व्यक्तिहरूले स्वचालित प्रणालीहरूको सञ्चालनलाई असर गर्न र उल्लङ्घन गरिएको लक्ष्यसँग सम्बन्धित इलेक्ट्रोनिक कम्प्युटिङ मेसिनहरूलाई प्रभाव पार्न ransomware उपकरण प्रयोग गरे।

इन्फोसेक विज्ञहरूले चेतावनी दिएका छन् कि FRwL ले बहु-स्तरित संक्रमण श्रृंखला प्रयोग गर्दछ जसमा धेरै, विभिन्न धम्की दिने उपकरणहरू समावेश छन्। प्रारम्भिक सम्झौता भेक्टर 'उन्नत आईपी स्क्यानर' सफ्टवेयरको रूपमा मास्करेडिङ हतियार स्थापनाकर्ताको डाउनलोड र कार्यान्वयन भएको पुष्टि भएको छ। नक्कली फाइल वैध वेब पोर्टलहरूको नक्कल गरेर समर्पित वेबसाइटहरू मार्फत वितरण भइरहेको छ। जालमा परेका लक्षित संस्थाका कर्मचारीहरूले आफ्नो कम्प्युटरमा Vidar Stealer खतरा सक्रिय र स्थापना गर्नेछन्।

त्यसपछि धम्की दिनेहरूले पीडितको टेलिग्राम सत्रको डाटा प्राप्त गर्न विदारको प्रयोग गर्छन् र पछि तिनीहरूको खाताहरू नियन्त्रणमा लिन्छन्। सम्झौता गरिएका खाताहरूलाई आक्रमणकारीहरूले VPN जडान डेटा सङ्कलन गर्न अनुमति दिने तरिकामा लिभरेज गरेका छन्। यदि VPN मा पर्याप्त 2FA (टू-फ्याक्टर प्रमाणीकरण) को कमी छ भने FRwL ह्याकरहरूले संगठनको कर्पोरेट नेटवर्कमा अनाधिकृत पहुँच प्राप्त गर्नेछन्। पछि, साइबर अपराधीहरूले कोबाल्ट स्ट्राइक बीकन स्थापना गर्छन् र संवेदनशील डेटा बाहिर निकाल्न वा अतिरिक्त निगरानी गतिविधिहरू प्रदर्शन गर्न अगाडि बढ्छन्।

Somnia Ransomware विवरणहरू

Somnia Ransomware खतराले विभिन्न फाइल प्रकारहरूको ठूलो मात्रामा प्रभाव पार्न सक्छ र तिनीहरूलाई क्रिप्टोग्राफिक एल्गोरिदम प्रयोग गरेर इन्क्रिप्ट गर्न सक्छ। प्रत्येक लक गरिएको फाइलको मूल नाममा '.somnia' जोडिएको हुन्छ। जबकि अधिकांश ransomware सञ्चालनहरू आर्थिक रूपमा उत्प्रेरित हुन्छन्, यो Somnia को मामला होइन। आक्रमणकारीहरूले उनीहरूको धम्की दिने उपकरणलाई डाटा वाइपर जस्तै प्रयोग गर्छन् जसले पीडितलाई उनीहरूको डाटा पहुँच गर्नबाट रोक्छ। आक्रमणकारीहरूले फिरौती तिर्न अनुरोध गर्दैनन्, किनकि त्यो उनीहरूको मुख्य लक्ष्य होइन।

CERT-UA का शोधकर्ताहरूले सोम्निया अझै सक्रिय विकास अन्तर्गत रहेको देखिन्छ। उदाहरणका लागि, खतराको अघिल्लो संस्करणहरू सुसज्जित र सममित 3DES एल्गोरिथ्ममा भर परेका थिए। यद्यपि, पछि पुनरावृत्तिहरू लक्षित फाइल प्रकारहरूको इन्क्रिप्शनको लागि AES एल्गोरिथ्म चलाउन स्विच गरियो।