Threat Database Ransomware Сомния-вымогатель

Сомния-вымогатель

Российские хакеры используют новую разновидность программы-вымогателя, отслеживаемую как Somnia, чтобы нарушить обычную деятельность целей в Украине. После российского вторжения в Украину исследователи информационной безопасности постоянно сообщают о резком увеличении числа атак против украинского правительства и организаций частного сектора. Подробности о Somnia Ransomware и его операторах были опубликованы в отчете CERT-UA (Группа реагирования на компьютерные чрезвычайные ситуации Украины).

Цепь заражения

Согласно их выводам, киберпреступники, ответственные за атаки на Somnia, принадлежат к пророссийской группе хактивистов From Russia with Love (FRwL), также отслеживаемой как Z-Team и UAC-0118. Злоумышленники использовали программу-вымогатель, чтобы повлиять на работу автоматизированных систем, а также электронно-вычислительных машин, принадлежащих взломанной цели.

Эксперты Infosec предупреждают, что FRwL использует многоуровневую цепочку заражения, которая включает в себя несколько различных инструментов, представляющих угрозу. Подтверждено, что первоначальным вектором взлома является загрузка и запуск вооруженного установщика, маскирующегося под программное обеспечение «Расширенный IP-сканер». Поддельный файл распространяется через специальные веб-сайты, имитирующие легитимные веб-порталы. Попавшиеся в ловушку сотрудники целевой организации активируют и установят на свои компьютеры угрозу Vidar Stealer .

Затем злоумышленники используют Vidar для получения данных сеанса Telegram жертвы и последующего контроля над их учетными записями. Скомпрометированные учетные записи используются злоумышленниками таким образом, что позволяют им собирать данные о VPN-подключении. Если в VPN недостаточно 2FA (двухфакторная аутентификация), хакеры FRwL получат несанкционированный доступ к корпоративной сети организации. После этого киберпреступники устанавливают маяк Cobalt Strike и приступают к эксфильтрации конфиденциальных данных или выполняют дополнительные действия по наблюдению.

Сведения о программе-вымогателе Somnia

Угроза Somnia Ransomware может воздействовать на огромное количество различных типов файлов и шифровать их с помощью криптографического алгоритма. К каждому заблокированному файлу к исходному имени добавляется «.somnia». Хотя большинство операций с программами-вымогателями имеют финансовую мотивацию, в случае с Somnia это не так. Злоумышленники используют свой угрожающий инструмент больше как средство очистки данных, которое не позволит жертве получить доступ к своим данным. Злоумышленники не требуют выплаты выкупа, так как это не является их основной целью.

Исследователи CERT-UA отмечают, что Somnia все еще находится в стадии активной разработки. Например, более ранние версии угрозы были снабжены и полагались на симметричный алгоритм 3DES. Однако более поздние итерации были переключены на использование алгоритма AES для шифрования целевых типов файлов.

В тренде

Наиболее просматриваемые

Загрузка...