Somnia Ransomware

Ruskí hackeri používajú nový kmeň ransomware sledovaný ako Somnia, aby narušili bežné aktivity cieľov na Ukrajine. Po ruskej invázii na Ukrajinu výskumníci Infosec neustále hlásili drastický nárast útočných kampaní proti ukrajinským vládnym a súkromným subjektom. Podrobnosti o Somnia Ransomware a jeho prevádzkovateľoch boli zverejnené pre verejnosť v správe CERT-UA (Computer Emergency Response Team of Ukraine).

Infekčný reťazec

Podľa ich zistení patria kyberzločinci zodpovední za útoky v Somnii k proruskej hacktivistickej skupine s názvom From Russia with Love (FRwL), ktorá je tiež sledovaná ako Z-Team a UAC-0118. Aktéri hrozby použili ransomvérový nástroj na ovplyvnenie prevádzky automatizovaných systémov, ako aj elektronických výpočtových strojov patriacich k narušenému cieľu.

Odborníci z Infosec varujú, že FRwL využíva viacvrstvový infekčný reťazec, ktorý zahŕňa niekoľko rôznych ohrozujúcich nástrojov. Počiatočným kompromisným vektorom je stiahnutie a spustenie ozbrojeného inštalačného programu, ktorý sa vydáva za softvér „Pokročilý IP skener“. Falošný súbor sa distribuuje prostredníctvom vyhradených webových stránok napodobňujúcich legitímne webové portály. Zamestnanci cieľovej organizácie, ktorí padnú do pasce, aktivujú a nainštalujú hrozbu Vidar Stealer na svoje počítače.

Aktéri hrozby potom pomocou Vidaru získajú údaje o relácii telegramu obete a následne prevezmú kontrolu nad ich účtami. Útočníci využívajú napadnuté účty spôsobom, ktorý im umožní zhromažďovať údaje o pripojení VPN. Ak VPN nemá dostatočné 2FA (dvojfaktorové overenie), FRwL hackeri získajú neoprávnený prístup do podnikovej siete organizácie. Potom kyberzločinci vytvoria maják Cobalt Strike a pokračujú v exfiltrácii citlivých údajov alebo vykonávaní ďalších sledovacích činností.

Podrobnosti o Somnia Ransomware

Hrozba Somnia Ransomware môže ovplyvniť veľké množstvo rôznych typov súborov a zašifrovať ich pomocou kryptografického algoritmu. Každý zamknutý súbor bude mať k pôvodnému názvu pripojenú „.somnia“. Zatiaľ čo väčšina operácií ransomvéru je finančne motivovaná, v prípade Somnia to tak nie je. Útočníci používajú svoj výhražný nástroj skôr ako stierač údajov, ktorý obeti zabráni v prístupe k ich údajom. Útočníci nepožadujú zaplatenie výkupného, pretože to nie je ich hlavným cieľom.

Výskumníci z CERT-UA poznamenávajú, že Somnia sa zdá byť stále v aktívnom vývoji. Napríklad staršie verzie hrozby boli vybavené a spoliehali sa na symetrický algoritmus 3DES. Neskoršie iterácie sa však zmenili na spustenie algoritmu AES na šifrovanie cieľových typov súborov.