Somnia Ransomware

Os hackers russos estão usando um novo tipo de ransomware, rastreado como Somnia, para interromper as atividades normais dos seus alvos na Ucrânia. Após a invasão russa no país da Ucrânia, os pesquisadores de infosec relataram continuamente um aumento drástico nas campanhas de ataque contra o governo ucraniano e entidades do setor privado. Detalhes sobre o Somnia Ransomware e seus operadores foram publicados ao público em um relatório da CERT-UA (Computer Emergency Response Team of Ukraine).

Cadeia de Infecção

De acordo com suas descobertas, os cibercriminosos responsáveis pelos ataques do Somnia pertencem ao que se acredita ser um grupo hacktivista pró-Rússia chamado From Russia with Love (FRwL), também rastreado como Z-Team e UAC-0118. Os atores da ameaça usaram a ferramenta ransomware para impactar a operação de sistemas automatizados, bem como máquinas de computação eletrônica pertencentes ao alvo violado.

Os especialistas de infosec alertam que o FRwL utiliza uma cadeia de infecção de várias camadas que envolve várias ferramentas ameaçadoras diferentes. O vetor de comprometimento inicial é confirmado como o download e a execução de um instalador corrompido, disfarçado como o software 'Advanced IP scanner'. O arquivo falso está sendo distribuído por meio de sites dedicados que imitam portais legítimos da Web. Os funcionários da organização-alvo que caírem na armadilha ativarão e instalarão a ameaça Vidar Stealer nos seus computadores.

Os autores da ameaça usam o Vidar para obter os dados da sessão do Telegram da vítima e, posteriormente, assumem o controle de suas contas. As contas comprometidas são aproveitadas pelos invasores de forma a permitir que eles coletem os dados de conexão do VPN. Se o VPN não tiver 2FA (Autenticação de Dois Fatores) suficiente, os hackers do FRwL obterão acesso não autorizado à rede corporativa da organização. Posteriormente, os cibercriminosos estabelecem um sinalizador Cobalt Strike e procedem à exfiltração de dados confidenciais ou realizam atividades de vigilância adicionais.

Detalhes sobre o Somnia Ransomware

A ameaça do Somnia Ransomware pode afetar uma grande quantidade de diferentes tipos de arquivos e criptografá-los usando um algoritmo criptográfico. Cada arquivo bloqueado terá '.somnia' anexado ao seu nome original. Embora a maioria das operações de ransomware seja motivada financeiramente, esse não é o caso do Somnia. Os invasores usam sua ferramenta ameaçadora mais como um limpador de dados que impedirá que a vítima acesse seus dados. Os invasores não solicitam o pagamento de resgate, pois esse não é seu objetivo principal.

Os investigadores do CERT-UA notaram que o Somnia parece ainda estar em desenvolvimento ativo. Por exemplo, as versões anteriores da ameaça foram equipadas e contavam com o algoritmo 3DES simétrico. No entanto, as iterações posteriores foram alteradas para executar o algoritmo AES para a criptografia dos tipos de arquivos visados.