Somnia Ransomware

Ruski hekerji uporabljajo nov sev izsiljevalske programske opreme, ki mu sledijo kot Somnia, da motijo običajne dejavnosti tarč v Ukrajini. Po ruski invaziji na državo Ukrajino so raziskovalci infosec nenehno poročali o drastičnem povečanju napadov na ukrajinsko vlado in subjekte zasebnega sektorja. Podrobnosti o izsiljevalski programski opremi Somnia in njenih operaterjih so bile javnosti objavljene v poročilu CERT-UA (Ekipa za odzivanje na računalniške nujne primere Ukrajine).

Veriga okužbe

Po njihovih ugotovitvah kibernetski kriminalci, odgovorni za napade na Somnia, pripadajo domnevno proruski haktivistični skupini z imenom From Russia with Love (FRwL), ki jo spremljajo tudi kot Z-Team in UAC-0118. Akterji groženj so uporabili orodje za izsiljevalsko programsko opremo, da bi vplivali na delovanje avtomatiziranih sistemov in elektronskih računalniških strojev, ki pripadajo tarči vdora.

Strokovnjaki Infosec opozarjajo, da FRwL uporablja večplastno verigo okužb, ki vključuje več različnih orodij za grožnje. Potrjeno je, da je začetni vektor ogrožanja prenos in izvedba oboroženega namestitvenega programa, ki se maskira kot programska oprema 'Advanced IP Scanner'. Lažna datoteka se distribuira prek namenskih spletnih mest, ki posnemajo zakonite spletne portale. Zaposleni v ciljni organizaciji, ki se ujamejo v past, bodo aktivirali in na svoje računalnike namestili grožnjo Vidar Stealer .

Akterji grožnje nato uporabijo Vidar, da pridobijo žrtvine podatke o seji Telegram in nato prevzamejo nadzor nad njihovimi računi. Napadalci izkoriščajo ogrožene račune na način, ki jim omogoča zbiranje podatkov o povezavi VPN. Če VPN nima dovolj 2FA (dvofaktorske avtentikacije), bi hekerji FRwL pridobili nepooblaščen dostop do korporativnega omrežja organizacije. Nato kibernetski kriminalci vzpostavijo svetilnik Cobalt Strike in nadaljujejo z izločanjem občutljivih podatkov ali izvajanjem dodatnih dejavnosti nadzora.

Podrobnosti o izsiljevalski programski opremi Somnia

Grožnja izsiljevalske programske opreme Somnia lahko vpliva na ogromno različnih vrst datotek in jih šifrira s kriptografskim algoritmom. Vsaka zaklenjena datoteka bo svojemu izvirnemu imenu dodala '.somnia'. Čeprav je večina operacij izsiljevalske programske opreme finančno motiviranih, to ne velja za Somnio. Napadalci uporabljajo svoje orodje za grožnje bolj kot brisalec podatkov, ki bo žrtvi preprečil dostop do njihovih podatkov. Napadalci ne zahtevajo odkupnine, saj to ni njihov glavni cilj.

Raziskovalci pri CERT-UA ugotavljajo, da se zdi, da je Somnia še vedno v aktivnem razvoju. Na primer, prejšnje različice grožnje so bile opremljene in so se zanašale na simetrični algoritem 3DES. Vendar so bile kasnejše ponovitve preklopljene na izvajanje algoritma AES za šifriranje ciljnih vrst datotek.