Somnia Ransomware

Rosyjscy hakerzy używają nowej odmiany oprogramowania ransomware śledzonej jako Somnia, aby zakłócać normalne działania celów na Ukrainie. Po rosyjskiej inwazji na Ukrainę badacze z infosec nieustannie donoszą o drastycznym wzroście kampanii ataków na ukraiński rząd i podmioty z sektora prywatnego. Szczegóły dotyczące oprogramowania Somnia Ransomware i jego operatorów zostały opublikowane w raporcie CERT-UA (zespół reagowania na sytuacje kryzysowe na Ukrainie).

Łańcuch infekcji

Według ich ustaleń cyberprzestępcy odpowiedzialni za ataki Somnia należą do prawdopodobnie prorosyjskiej grupy haktywistycznej o nazwie From Russia with Love (FRwL), również śledzonej jako Z-Team i UAC-0118. Przestępcy wykorzystali narzędzie ransomware, aby wpłynąć na działanie zautomatyzowanych systemów, a także elektronicznych maszyn obliczeniowych należących do zaatakowanego celu.

Eksperci Infosec ostrzegają, że FRwL wykorzystuje wielowarstwowy łańcuch infekcji, który obejmuje kilka różnych niebezpiecznych narzędzi. Potwierdzono, że początkowym wektorem zagrożenia było pobranie i uruchomienie uzbrojonego instalatora podszywającego się pod oprogramowanie „Advanced IP scanner”. Fałszywy plik jest dystrybuowany za pośrednictwem dedykowanych stron internetowych imitujących legalne portale internetowe. Pracownicy atakowanej organizacji, którzy wpadną w pułapkę, aktywują i instalują zagrożenie Vidar Stealer na swoich komputerach.

Następnie cyberprzestępcy wykorzystują Vidar do uzyskania danych sesji telegramu ofiary, a następnie przejmują kontrolę nad ich kontami. Zaatakowane konta są wykorzystywane przez atakujących w sposób, który umożliwia im zbieranie danych o połączeniu VPN. Jeśli w sieci VPN brakuje wystarczającego uwierzytelniania 2FA (uwierzytelniania dwuskładnikowego), hakerzy FRwL uzyskaliby nieautoryzowany dostęp do sieci korporacyjnej organizacji. Następnie cyberprzestępcy zakładają latarnię Cobalt Strike i przystępują do eksfiltracji poufnych danych lub wykonywania dodatkowych działań inwigilacyjnych.

Szczegóły Somnia Ransomware

Zagrożenie Somnia Ransomware może wpływać na ogromną liczbę różnych typów plików i szyfrować je przy użyciu algorytmu kryptograficznego. Każdy zablokowany plik będzie miał dołączoną do swojej oryginalnej nazwy „.somnia”. Podczas gdy większość operacji ransomware jest motywowana finansowo, w przypadku Somni tak nie jest. Atakujący używają swojego groźnego narzędzia bardziej jak wycieraczki danych, która uniemożliwi ofierze dostęp do ich danych. Atakujący nie żądają zapłaty okupu, ponieważ nie jest to ich głównym celem.

Naukowcy z CERT-UA zauważają, że Somnia wydaje się nadal być w fazie aktywnego rozwoju. Na przykład wcześniejsze wersje zagrożenia były wyposażone i opierały się na symetrycznym algorytmie 3DES. Jednak późniejsze iteracje zostały przełączone na uruchamianie algorytmu AES do szyfrowania docelowych typów plików.