Somnia Ransomware

Ryska hackare använder en ny ransomware-stam som spåras som Somnia, för att störa målens normala aktiviteter i Ukraina. Efter den ryska invasionen av landet Ukraina har infosec-forskare kontinuerligt rapporterat om en drastisk ökning av attackkampanjerna mot den ukrainska regeringen och den privata sektorn. Detaljer om Somnia Ransomware och dess operatörer publicerades för allmänheten i en rapport från CERT-UA (Computer Emergency Response Team of Ukraine).

Infektionskedja

Enligt deras upptäckter tillhör de cyberbrottslingar som är ansvariga för Somnia-attackerna vad som tros vara en pro-rysk hacktivistgrupp vid namn From Russia with Love (FRwL), även spårad som Z-Team och UAC-0118. Hotaktörerna använde ransomware-verktyget för att påverka driften av automatiserade system, såväl som elektroniska datorer som tillhörde det övertrampade målet.

Infosec-experter varnar för att FRwL använder en infektionskedja i flera lager som involverar flera olika hotfulla verktyg. Den initiala kompromissvektorn bekräftas vara nedladdningen och exekveringen av en beväpnad installationsprogram som maskerar sig som "Avancerad IP-skanner"-programvara. Den falska filen distribueras via dedikerade webbplatser som imiterar legitima webbportaler. Anställda i den riktade organisationen som faller för fällan kommer att aktivera och installera Vidar Stealer -hotet på sina datorer.

Hotaktörerna använder sedan Vidar för att få tag i offrets telegramsessionsdata och därefter ta kontroll över deras konton. De komprometterade kontona utnyttjas av angriparna på ett sätt som gör att de kan samla in VPN-anslutningsdata. Om VPN saknar tillräckligt med 2FA (Two-Factor Authentication) skulle FRwL-hackarna få obehörig åtkomst till organisationens företagsnätverk. Efteråt etablerar cyberkriminella en Cobalt Strike -fyr och fortsätter att exfiltrera känslig data eller utföra ytterligare övervakningsaktiviteter.

Detaljer om Somnia Ransomware

Somnia Ransomware-hotet kan påverka en stor mängd olika filtyper och kryptera dem med en kryptografisk algoritm. Varje låst fil kommer att ha '.somnia' tillagd till sitt ursprungliga namn. Även om de flesta ransomware-operationer är ekonomiskt motiverade, är detta inte fallet med Somnia. Angriparna använder sitt hotfulla verktyg mer som en datatorkare som hindrar offret från att komma åt deras data. Angriparna begär inte att de ska betala lösen, eftersom det inte är deras huvudsakliga mål.

Forskarna vid CERT-UA konstaterar att Somnia fortfarande verkar vara under aktiv utveckling. Till exempel var tidigare versioner av hotet utrustade och förlitade sig på den symmetriska 3DES-algoritmen. Men senare iterationer byttes till att köra AES-algoritmen för kryptering av de riktade filtyperna.