Somnia Ransomware

Hackerii ruși folosesc o nouă tulpină de ransomware urmărită ca Somnia, pentru a perturba activitățile normale ale țintelor din Ucraina. După invazia rusă a țării Ucrainei, cercetătorii Infosec au raportat în mod continuu o creștere drastică a campaniilor de atac împotriva guvernului ucrainean și a entităților din sectorul privat. Detalii despre Somnia Ransomware și operatorii săi au fost publicate publicului într-un raport al CERT-UA (Computer Emergency Response Team of Ukraine).

Lanțul de infecție

Conform constatărilor lor, infractorii cibernetici responsabili pentru atacurile Somnia aparțin a ceea ce se crede a fi un grup hacktivist pro-rus numit From Russia with Love (FRwL), urmărit și ca Z-Team și UAC-0118. Actorii amenințărilor au folosit instrumentul ransomware pentru a afecta funcționarea sistemelor automate, precum și a mașinilor electronice de calcul aparținând țintei încălcate.

Experții Infosec avertizează că FRwL utilizează un lanț de infecție cu mai multe straturi care implică mai multe instrumente de amenințare diferite. Se confirmă că vectorul de compromis inițial este descărcarea și execuția unui program de instalare cu arme care se preface ca software „Scaner IP avansat”. Fișierul fals este distribuit prin site-uri web dedicate care imit portaluri web legitime. Angajații organizației vizate care cad în capcană vor activa și instala amenințarea Vidar Stealer pe computerele lor.

Actorii amenințărilor folosesc apoi Vidar pentru a obține datele sesiunii Telegram ale victimei și, ulterior, preia controlul asupra conturilor acestora. Conturile compromise sunt valorificate de atacatori într-un mod care le va permite să colecteze date de conexiune VPN. Dacă VPN-ului nu are suficient 2FA (Autentificare cu doi factori), hackerii FRwL ar obține acces neautorizat la rețeaua corporativă a organizației. Ulterior, infractorii cibernetici stabilesc o baliză Cobalt Strike și continuă să exfiltreze date sensibile sau să efectueze activități de supraveghere suplimentare.

Detaliile Somnia Ransomware

Amenințarea Somnia Ransomware poate afecta o cantitate mare de tipuri diferite de fișiere și le poate cripta folosind un algoritm criptografic. Fiecare fișier blocat va avea „.somnia” atașat la numele său original. Deși majoritatea operațiunilor de ransomware sunt motivate financiar, acesta nu este cazul Somnia. Atacatorii își folosesc instrumentul de amenințare mai mult ca un ștergător de date care va împiedica victima să-și acceseze datele. Atacatorii nu cer să li se plătească o răscumpărare, deoarece acesta nu este scopul lor principal.

Cercetătorii de la CERT-UA notează că Somnia pare să fie încă în curs de dezvoltare activă. De exemplu, versiunile anterioare ale amenințării erau echipate și se bazau pe algoritmul simetric 3DES. Cu toate acestea, iterațiile ulterioare au fost trecute la rularea algoritmului AES pentru criptarea tipurilor de fișiere vizate.