சோம்னியா ரான்சம்வேர்

உக்ரைனில் உள்ள இலக்குகளின் இயல்பான செயல்பாடுகளை சீர்குலைக்க ரஷ்ய ஹேக்கர்கள் சோம்னியா என கண்காணிக்கப்படும் புதிய ransomware திரிபுகளைப் பயன்படுத்துகின்றனர். உக்ரைன் நாட்டின் மீது ரஷ்ய படையெடுப்பைத் தொடர்ந்து, உக்ரேனிய அரசு மற்றும் தனியார் துறை நிறுவனங்களுக்கு எதிரான தாக்குதல் பிரச்சாரங்களில் இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் கடுமையான அதிகரிப்பை தொடர்ந்து அறிவித்துள்ளனர். Somnia Ransomware மற்றும் அதன் ஆபரேட்டர்கள் பற்றிய விவரங்கள் CERT-UA (உக்ரைனின் கணினி அவசரநிலைப் பதிலளிப்புக் குழு) அறிக்கையில் பொதுமக்களுக்கு வெளியிடப்பட்டது.

தொற்று சங்கிலி

அவர்களின் கண்டுபிடிப்புகளின்படி, சோம்னியா தாக்குதல்களுக்குப் பொறுப்பான சைபர் கிரைமினல்கள் ரஷ்யாவுக்கு ஆதரவான ஹேக்டிவிஸ்ட் குழுவைச் சேர்ந்தவர்கள், ஃப்ரம் ரஷ்யா வித் லவ் (FRwL), Z-டீம் மற்றும் UAC-0118 என்றும் கண்காணிக்கப்படுகிறது. அச்சுறுத்தல் நடிகர்கள் ransomware கருவியைப் பயன்படுத்தி தானியங்கு அமைப்புகளின் செயல்பாட்டையும், மீறப்பட்ட இலக்கைச் சேர்ந்த மின்னணு கணினி இயந்திரங்களையும் பாதிக்கின்றனர்.

FRwL பல அடுக்கு தொற்றுச் சங்கிலியைப் பயன்படுத்துகிறது என்று இன்ஃபோசெக் நிபுணர்கள் எச்சரிக்கின்றனர், இதில் பல்வேறு அச்சுறுத்தும் கருவிகள் உள்ளன. ஆரம்ப சமரச திசையன், 'மேம்பட்ட ஐபி ஸ்கேனர்' மென்பொருளாக மாறுவேடமிட்டு ஆயுதம் தாங்கிய நிறுவியின் பதிவிறக்கம் மற்றும் செயல்படுத்தல் என உறுதிப்படுத்தப்பட்டுள்ளது. முறையான இணைய தளங்களைப் பின்பற்றி பிரத்யேக இணையதளங்கள் மூலம் போலி கோப்பு விநியோகிக்கப்படுகிறது. வலையில் விழும் இலக்கு அமைப்பின் ஊழியர்கள் தங்கள் கணினிகளில் Vidar Stealer அச்சுறுத்தலைச் செயல்படுத்தி நிறுவுவார்கள்.

அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்டவரின் டெலிகிராம் அமர்வுத் தரவைப் பெற Vidar ஐப் பயன்படுத்துகின்றனர், பின்னர் அவர்களின் கணக்குகளைக் கட்டுப்படுத்துகிறார்கள். சமரசம் செய்யப்பட்ட கணக்குகள் VPN இணைப்புத் தரவைச் சேகரிக்க அனுமதிக்கும் வகையில் தாக்குபவர்களால் பயன்படுத்தப்படுகின்றன. VPNக்கு போதுமான 2FA (இரண்டு காரணி அங்கீகாரம்) இல்லாவிட்டால், FRwL ஹேக்கர்கள் நிறுவனத்தின் கார்ப்பரேட் நெட்வொர்க்கிற்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுவார்கள். பின்னர், சைபர் கிரைமினல்கள் கோபால்ட் ஸ்ட்ரைக் கலங்கரை விளக்கத்தை நிறுவி, முக்கியத் தரவை வெளியேற்ற அல்லது கூடுதல் கண்காணிப்பு நடவடிக்கைகளை மேற்கொள்கின்றனர்.

சோம்னியா ரான்சம்வேர் விவரங்கள்

Somnia Ransomware அச்சுறுத்தல் பல்வேறு வகையான கோப்பு வகைகளை பாதிக்கலாம் மற்றும் கிரிப்டோகிராஃபிக் அல்காரிதத்தைப் பயன்படுத்தி அவற்றை குறியாக்கம் செய்யலாம். பூட்டப்பட்ட ஒவ்வொரு கோப்பிலும் அதன் அசல் பெயருடன் '.somnia' சேர்க்கப்படும். பெரும்பாலான ransomware செயல்பாடுகள் நிதி ரீதியாக உந்துதல் பெற்றிருந்தாலும், சோம்னியா விஷயத்தில் இது இல்லை. தாக்குபவர்கள் தங்கள் அச்சுறுத்தும் கருவியை டேட்டா துடைப்பான் போன்றவற்றைப் பயன்படுத்துகின்றனர், இது பாதிக்கப்பட்டவரின் தரவை அணுகுவதைத் தடுக்கும். தாக்குபவர்கள் மீட்கும் தொகையைக் கோரவில்லை, ஏனெனில் அது அவர்களின் முக்கிய குறிக்கோள் அல்ல.

CERT-UA இன் ஆராய்ச்சியாளர்கள் சோம்னியா இன்னும் செயலில் வளர்ச்சியில் இருப்பதாகத் தெரிகிறது. எடுத்துக்காட்டாக, அச்சுறுத்தலின் முந்தைய பதிப்புகள் பொருத்தப்பட்டிருந்தன மற்றும் சமச்சீர் 3DES அல்காரிதத்தை நம்பியிருந்தன. இருப்பினும், இலக்கு வைக்கப்பட்ட கோப்பு வகைகளின் குறியாக்கத்திற்கான AES அல்காரிதத்தை இயக்குவதற்கு பின்னர் மறு செய்கைகள் மாற்றப்பட்டன.