Somnia-ransomware

Russische hackers gebruiken een nieuwe ransomware-stam, gevolgd als Somnia, om de normale activiteiten van doelen in Oekraïne te verstoren. Na de Russische invasie van het land Oekraïne hebben onderzoekers van infosec voortdurend melding gemaakt van een drastische toename van de aanvalscampagnes tegen de Oekraïense regering en entiteiten uit de particuliere sector. Details over de Somnia Ransomware en zijn operators werden openbaar gemaakt in een rapport van CERT-UA (Computer Emergency Response Team of Ukraine).

Infectie keten

Volgens hun bevindingen behoren de cybercriminelen die verantwoordelijk zijn voor de Somnia-aanvallen tot wat wordt verondersteld een pro-Russische hacktivistische groep te zijn genaamd From Russia with Love (FRwL), ook gevolgd als Z-Team en UAC-0118. De bedreigingsactoren gebruikten de ransomware-tool om de werking van geautomatiseerde systemen te beïnvloeden, evenals elektronische computermachines die tot het geschonden doelwit behoorden.

Infosec-experts waarschuwen dat FRwL een meerlagige infectieketen gebruikt waarbij verschillende, verschillende bedreigingstools betrokken zijn. Er is bevestigd dat de eerste aanvalsvector het downloaden en uitvoeren is van een bewapend installatieprogramma dat zich voordoet als 'Geavanceerde IP-scanner'-software. Het nepbestand wordt verspreid via speciale websites die legitieme webportalen imiteren. Werknemers van de beoogde organisatie die in de val trappen, activeren en installeren de Vidar Stealer -dreiging op hun computers.

De bedreigingsactoren gebruiken Vidar vervolgens om de Telegram-sessiegegevens van het slachtoffer te verkrijgen en vervolgens de controle over hun accounts over te nemen. De gecompromitteerde accounts worden door de aanvallers zodanig gebruikt dat ze VPN-verbindingsgegevens kunnen verzamelen. Als de VPN onvoldoende 2FA (Two-Factor Authentication) heeft, zouden de FRwL-hackers ongeoorloofde toegang krijgen tot het bedrijfsnetwerk van de organisatie. Daarna zetten de cybercriminelen een Cobalt Strike -baken op en gaan ze verder met het exfiltreren van gevoelige gegevens of het uitvoeren van aanvullende bewakingsactiviteiten.

De Somnia Ransomware-details

De dreiging van Somnia Ransomware kan van invloed zijn op een groot aantal verschillende bestandstypen en deze versleutelen met behulp van een cryptografisch algoritme. Aan elk vergrendeld bestand wordt '.somnia' toegevoegd aan de oorspronkelijke naam. Hoewel de meeste ransomware-operaties financieel gemotiveerd zijn, is dit niet het geval bij Somnia. De aanvallers gebruiken hun bedreigingstool meer als een gegevenswisser die voorkomt dat het slachtoffer toegang krijgt tot hun gegevens. De aanvallers vragen niet om losgeld, want dat is niet hun hoofddoel.

De onderzoekers van CERT-UA merken op dat Somnia nog volop in ontwikkeling lijkt te zijn. Eerdere versies van de dreiging waren bijvoorbeeld uitgerust en vertrouwden op het symmetrische 3DES-algoritme. Latere iteraties werden echter overgeschakeld naar het uitvoeren van het AES-algoritme voor de codering van de beoogde bestandstypen.