Somnia Ransomware

Hakerët rusë po përdorin një lloj të ri ransomware të gjurmuar si Somnia, për të prishur aktivitetet normale të objektivave në Ukrainë. Pas pushtimit rus të vendit të Ukrainës, studiuesit e infosec kanë raportuar vazhdimisht një rritje drastike të fushatave të sulmit kundër qeverisë ukrainase dhe subjekteve të sektorit privat. Detaje rreth Somnia Ransomware dhe operatorëve të tij u publikuan për publikun në një raport nga CERT-UA (Ekipi i Reagimit të Emergjencave Kompjuterike të Ukrainës).

Zinxhiri i Infeksionit

Sipas gjetjeve të tyre, kriminelët kibernetikë përgjegjës për sulmet e Somnia i përkasin atij që besohet të jetë një grup haktivist pro-rus i quajtur From Russia with Love (FRwL), i gjurmuar gjithashtu si Z-Team dhe UAC-0118. Aktorët e kërcënimit përdorën mjetin e ransomware për të ndikuar në funksionimin e sistemeve të automatizuara, si dhe të makinave kompjuterike elektronike që i përkasin objektivit të shkelur.

Ekspertët e Infosec paralajmërojnë se FRwL përdor një zinxhir infeksioni me shumë shtresa që përfshin disa mjete të ndryshme kërcënuese. Vektori fillestar i kompromisit është konfirmuar se është shkarkimi dhe ekzekutimi i një instaluesi të armatosur, i maskuar si softuer 'Skaneri i avancuar IP'. Skedari i rremë po shpërndahet përmes uebsajteve të dedikuara që imitojnë portalet legjitime të internetit. Punonjësit e organizatës së synuar që bien në kurth do të aktivizojnë dhe instalojnë kërcënimin Vidar Stealer në kompjuterët e tyre.

Aktorët e kërcënimit më pas përdorin Vidar për të marrë të dhënat e sesionit të Telegramit të viktimës dhe më pas për të marrë kontrollin e llogarive të tyre. Llogaritë e komprometuara shfrytëzohen nga sulmuesit në një mënyrë që do t'i lejojë ata të mbledhin të dhënat e lidhjes VPN. Nëse VPN-së i mungon mjaftueshëm 2FA (Autentifikimi me dy faktorë), hakerët FRwL do të fitonin akses të paautorizuar në rrjetin e korporatës së organizatës. Më pas, kriminelët kibernetikë krijojnë një fener Cobalt Strike dhe vazhdojnë të nxjerrin të dhëna të ndjeshme ose të kryejnë aktivitete shtesë mbikqyrjeje.

Detajet e Somnia Ransomware

Kërcënimi Somnia Ransomware mund të ndikojë në një sasi të madhe të llojeve të ndryshme të skedarëve dhe t'i kodojë ato duke përdorur një algoritëm kriptografik. Çdo skedar i kyçur do të ketë '.somnia' të bashkangjitur në emrin e tij origjinal. Ndërsa shumica e operacioneve të ransomware janë të motivuara financiarisht, ky nuk është rasti me Somnia. Sulmuesit përdorin mjetin e tyre kërcënues më shumë si një fshirës të të dhënave që do ta parandalojë viktimën të aksesojë të dhënat e tyre. Sulmuesit nuk kërkojnë që t'u paguhet një shpërblim, pasi ky nuk është qëllimi i tyre kryesor.

Studiuesit në CERT-UA vënë në dukje se Somnia duket se është ende në zhvillim aktiv. Për shembull, versionet e mëparshme të kërcënimit ishin të pajisura dhe u mbështetën në algoritmin simetrik 3DES. Megjithatë, përsëritjet e mëvonshme u kaluan në ekzekutimin e algoritmit AES për enkriptimin e llojeve të skedarëve të synuar.