ਸੋਮਨੀਆ ਰੈਨਸਮਵੇਅਰ

ਰੂਸੀ ਹੈਕਰ ਯੂਕਰੇਨ ਵਿੱਚ ਟੀਚਿਆਂ ਦੀਆਂ ਆਮ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਲਈ, ਸੋਮਨੀਆ ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਇੱਕ ਨਵੇਂ ਰੈਨਸਮਵੇਅਰ ਤਣਾਅ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਯੂਕਰੇਨ ਦੇ ਦੇਸ਼ 'ਤੇ ਰੂਸੀ ਹਮਲੇ ਤੋਂ ਬਾਅਦ, ਇਨਫੋਸੈਕਸ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਯੂਕਰੇਨ ਦੀ ਸਰਕਾਰ ਅਤੇ ਨਿੱਜੀ ਖੇਤਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਦੇ ਖਿਲਾਫ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਲਗਾਤਾਰ ਵਾਧਾ ਦਰਜ ਕੀਤਾ ਹੈ। Somnia Ransomware ਅਤੇ ਇਸਦੇ ਸੰਚਾਲਕਾਂ ਬਾਰੇ ਵੇਰਵੇ CERT-UA (ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ) ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਜਨਤਾ ਲਈ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੇ ਗਏ ਸਨ।

ਲਾਗ ਚੇਨ

ਉਹਨਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਸੋਮਨੀਆ ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ ਰੂਸ ਪੱਖੀ ਹੈਕਟਿਵਿਸਟ ਸਮੂਹ ਨਾਲ ਸਬੰਧਤ ਹਨ ਜਿਸ ਨੂੰ ਫਰੌਮ ਰਸ਼ੀਆ ਵਿਦ ਲਵ (FRwL) ਨਾਮਕ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨੂੰ Z-ਟੀਮ ਅਤੇ UAC-0118 ਵਜੋਂ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਸਵੈਚਲਿਤ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਸੰਚਾਲਨ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਲਈ ਰੈਨਸਮਵੇਅਰ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਨਾਲ ਹੀ ਉਲੰਘਣਾ ਕੀਤੇ ਟੀਚੇ ਨਾਲ ਸਬੰਧਤ ਇਲੈਕਟ੍ਰਾਨਿਕ ਕੰਪਿਊਟਿੰਗ ਮਸ਼ੀਨਾਂ।

Infosec ਮਾਹਰ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਕਿ FRwL ਇੱਕ ਬਹੁ-ਪੱਧਰੀ ਸੰਕਰਮਣ ਲੜੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਕਈ, ਵੱਖ-ਵੱਖ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਾਧਨ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਵੈਕਟਰ 'ਐਡਵਾਂਸਡ ਆਈਪੀ ਸਕੈਨਰ' ਸੌਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕੇਰੇਡਿੰਗ ਇੱਕ ਹਥਿਆਰ ਵਾਲੇ ਇੰਸਟੌਲਰ ਦੇ ਡਾਊਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਹੈ। ਜਾਅਲੀ ਫਾਈਲ ਨੂੰ ਸਮਰਪਿਤ ਵੈਬਸਾਈਟਾਂ ਦੁਆਰਾ ਜਾਇਜ਼ ਵੈਬ ਪੋਰਟਲ ਦੀ ਨਕਲ ਕਰਕੇ ਵੰਡਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸੰਗਠਨ ਦੇ ਕਰਮਚਾਰੀ ਜੋ ਜਾਲ ਵਿਚ ਫਸ ਜਾਂਦੇ ਹਨ, ਆਪਣੇ ਕੰਪਿਊਟਰਾਂ 'ਤੇ ਵਿਦਰ ਸਟੀਲਰ ਧਮਕੀ ਨੂੰ ਸਰਗਰਮ ਅਤੇ ਸਥਾਪਿਤ ਕਰਨਗੇ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਫਿਰ ਪੀੜਤ ਦੇ ਟੈਲੀਗ੍ਰਾਮ ਸੈਸ਼ਨ ਦੇ ਡੇਟਾ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਿਦਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਖਾਤਿਆਂ ਦਾ ਨਿਯੰਤਰਣ ਲੈਂਦੇ ਹਨ। ਸਮਝੌਤਾ ਕੀਤੇ ਖਾਤਿਆਂ ਦਾ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਇਸ ਤਰੀਕੇ ਨਾਲ ਲਾਭ ਉਠਾਇਆ ਜਾਂਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ VPN ਕਨੈਕਸ਼ਨ ਡੇਟਾ ਇਕੱਤਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇਵੇਗਾ। ਜੇਕਰ VPN ਵਿੱਚ 2FA (ਦੋ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ) ਦੀ ਘਾਟ ਹੈ ਤਾਂ FRwL ਹੈਕਰ ਸੰਸਥਾ ਦੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਗੇ। ਬਾਅਦ ਵਿੱਚ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਸਥਾਪਤ ਕਰਦੇ ਹਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਜਾਂ ਵਾਧੂ ਨਿਗਰਾਨੀ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੇ ਹਨ।

ਸੋਮਨੀਆ ਰੈਨਸਮਵੇਅਰ ਵੇਰਵੇ

Somnia Ransomware ਧਮਕੀ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੀਆਂ ਫਾਈਲਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਮਾਤਰਾ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਇੱਕ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਹਨਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰ ਸਕਦੀ ਹੈ। ਹਰੇਕ ਲਾਕ ਕੀਤੀ ਫਾਈਲ ਵਿੱਚ ਇਸਦੇ ਅਸਲੀ ਨਾਮ ਨਾਲ '.somnia' ਜੋੜਿਆ ਜਾਵੇਗਾ। ਹਾਲਾਂਕਿ ਜ਼ਿਆਦਾਤਰ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹੁੰਦੇ ਹਨ, ਸੋਮਨੀਆ ਨਾਲ ਅਜਿਹਾ ਨਹੀਂ ਹੈ। ਹਮਲਾਵਰ ਆਪਣੇ ਧਮਕਾਉਣ ਵਾਲੇ ਟੂਲ ਦੀ ਵਰਤੋਂ ਡੇਟਾ ਵਾਈਪਰ ਵਾਂਗ ਕਰਦੇ ਹਨ ਜੋ ਪੀੜਤ ਨੂੰ ਉਹਨਾਂ ਦੇ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਹਮਲਾਵਰ ਫਿਰੌਤੀ ਦੇਣ ਦੀ ਬੇਨਤੀ ਨਹੀਂ ਕਰਦੇ, ਕਿਉਂਕਿ ਇਹ ਉਨ੍ਹਾਂ ਦਾ ਮੁੱਖ ਟੀਚਾ ਨਹੀਂ ਹੈ।

CERT-UA ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਸੋਮਨੀਆ ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਜਾਪਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਧਮਕੀ ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣਾਂ ਨੂੰ ਲੈਸ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਸਮਮਿਤੀ 3DES ਐਲਗੋਰਿਦਮ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ, ਬਾਅਦ ਵਿੱਚ ਦੁਹਰਾਓ ਨੂੰ ਨਿਸ਼ਾਨਾ ਫਾਈਲ ਕਿਸਮਾਂ ਦੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਲਈ AES ਐਲਗੋਰਿਦਮ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਵਿਚ ਕੀਤਾ ਗਿਆ ਸੀ।