Сомниа Рансомваре

Руски хакери користе нови сој рансомваре-а који се прати као Сомниа, да поремете нормалне активности мета у Украјини. Након руске инвазије на Украјину, истраживачи Инфосец-а су континуирано пријављивали драстичан пораст кампања напада на украјинске владе и субјекте приватног сектора. Детаљи о Сомниа Рансомваре-у и његовим оператерима објављени су јавности у извештају ЦЕРТ-УА (Украјински тим за компјутерске хитне случајеве).

Ланац инфекције

Према њиховим налазима, сајбер криминалци одговорни за нападе Сомниа припадају, како се верује, проруској хактивистичкој групи под називом Из Русије с љубављу (ФРвЛ), која се такође прати као З-Теам и УАЦ-0118. Актери претњи су користили алатку за рансомваре да утичу на рад аутоматизованих система, као и електронских рачунарских машина које припадају проваљеној мети.

Стручњаци Инфосец-а упозоравају да ФРвЛ користи вишеслојни ланац заразе који укључује неколико различитих претећих алата. Потврђено је да је почетни компромисни вектор преузимање и извођење наоружаног инсталатера који се маскира као софтвер „Напредни ИП скенер“. Лажна датотека се дистрибуира преко наменских веб локација које имитирају легитимне веб портале. Запослени у циљаној организацији који упадну у замку ће активирати и инсталирати претњу Видар Стеалер на своје рачунаре.

Актери претњи затим користе Видар да би добили податке о сесији Телеграма жртве и затим преузели контролу над њиховим налозима. Нападачи користе компромитоване налоге на начин који ће им омогућити да прикупе податке о ВПН вези. Ако ВПН-у недостаје довољно 2ФА (двофакторска аутентификација), ФРвЛ хакери би добили неовлашћени приступ корпоративној мрежи организације. Након тога, сајбер криминалци успостављају кобалт Стрике беацон и настављају да ексфилтрирају осетљиве податке или врше додатне активности надзора.

Детаљи о Сомниа Рансомваре-у

Претња Сомниа Рансомваре може утицати на огромну количину различитих типова датотека и шифровати их помоћу криптографског алгоритма. Свака закључана датотека ће имати '.сомниа' додану свом оригиналном имену. Иако је већина операција рансомваре-а финансијски мотивисана, то није случај са Сомниом. Нападачи користе свој претећи алат више као алат за брисање података који ће спречити жртву да приступи њиховим подацима. Нападачи не траже да им се исплати откуп, јер им то није главни циљ.

Истраживачи са ЦЕРТ-УА примећују да се чини да је Сомниа још увек у активном развоју. На пример, раније верзије претње су биле опремљене и ослањале се на симетричан 3ДЕС алгоритам. Међутим, касније итерације су пребачене на покретање АЕС алгоритма за шифровање циљаних типова датотека.