Somnia Ransomware
ఉక్రెయిన్లోని లక్ష్యాల సాధారణ కార్యకలాపాలకు అంతరాయం కలిగించడానికి రష్యన్ హ్యాకర్లు సోమ్నియాగా ట్రాక్ చేయబడిన కొత్త ransomware జాతిని ఉపయోగిస్తున్నారు. ఉక్రెయిన్ దేశంపై రష్యా దాడి చేసిన తర్వాత, ఉక్రెయిన్ ప్రభుత్వం మరియు ప్రైవేట్ రంగ సంస్థలపై దాడి ప్రచారాలలో ఇన్ఫోసెక్ పరిశోధకులు విపరీతమైన పెరుగుదలను నిరంతరం నివేదించారు. Somnia Ransomware మరియు దాని ఆపరేటర్ల గురించిన వివరాలను CERT-UA (కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ ఆఫ్ ఉక్రెయిన్) నివేదికలో ప్రజలకు ప్రచురించారు.
ఇన్ఫెక్షన్ చైన్
వారి పరిశోధనల ప్రకారం, సోమ్నియా దాడులకు కారణమైన సైబర్ నేరస్థులు రష్యా అనుకూల హ్యాక్టివిస్ట్ గ్రూప్గా భావించే ఫ్రమ్ రష్యా విత్ లవ్ (FRwL)కి చెందినవారు, Z-టీమ్ మరియు UAC-0118గా కూడా ట్రాక్ చేయబడతారు. బెదిరింపు నటులు ransomware సాధనాన్ని ఆటోమేటెడ్ సిస్టమ్ల ఆపరేషన్ను ప్రభావితం చేయడానికి, అలాగే ఉల్లంఘించిన లక్ష్యానికి చెందిన ఎలక్ట్రానిక్ కంప్యూటింగ్ మెషీన్లను ఉపయోగించారు.
FRwL బహుళ-లేయర్డ్ ఇన్ఫెక్షన్ చైన్ను ఉపయోగిస్తుందని ఇన్ఫోసెక్ నిపుణులు హెచ్చరిస్తున్నారు, ఇందులో అనేక రకాల బెదిరింపు సాధనాలు ఉంటాయి. ప్రారంభ రాజీ వెక్టర్ 'అడ్వాన్స్డ్ IP స్కానర్' సాఫ్ట్వేర్గా మాస్క్వెరేడింగ్ చేయబడిన ఆయుధ ఇన్స్టాలర్ను డౌన్లోడ్ చేయడం మరియు అమలు చేయడం అని నిర్ధారించబడింది. చట్టబద్ధమైన వెబ్ పోర్టల్లను అనుకరిస్తూ ప్రత్యేక వెబ్సైట్ల ద్వారా నకిలీ ఫైల్ పంపిణీ చేయబడుతోంది. ట్రాప్లో పడిన లక్ష్య సంస్థ ఉద్యోగులు తమ కంప్యూటర్లలో Vidar Stealer ముప్పును సక్రియం చేసి, ఇన్స్టాల్ చేస్తారు.
బెదిరింపు నటులు బాధితుడి టెలిగ్రామ్ సెషన్ డేటాను పొందడానికి విడార్ను ఉపయోగిస్తారు మరియు తదనంతరం వారి ఖాతాలపై నియంత్రణను తీసుకుంటారు. రాజీపడిన ఖాతాలు VPN కనెక్షన్ డేటాను సేకరించడానికి వారిని అనుమతించే విధంగా దాడి చేసే వారిచే పరపతి పొందబడతాయి. VPNలో తగినంత 2FA (టూ-ఫాక్టర్ అథెంటికేషన్) లేనట్లయితే, FRwL హ్యాకర్లు సంస్థ యొక్క కార్పొరేట్ నెట్వర్క్కు అనధికార ప్రాప్యతను పొందుతారు. ఆ తర్వాత, సైబర్ నేరగాళ్లు కోబాల్ట్ స్ట్రైక్ బెకన్ను ఏర్పాటు చేసి, సున్నితమైన డేటాను వెలికితీయడానికి లేదా అదనపు నిఘా కార్యకలాపాలను నిర్వహిస్తారు.
సోమ్నియా రాన్సమ్వేర్ వివరాలు
Somnia Ransomware ముప్పు అనేక రకాల ఫైల్ రకాలను ప్రభావితం చేస్తుంది మరియు క్రిప్టోగ్రాఫిక్ అల్గారిథమ్ని ఉపయోగించి వాటిని గుప్తీకరించవచ్చు. లాక్ చేయబడిన ప్రతి ఫైల్ దాని అసలు పేరుకు '.somnia' జోడించబడి ఉంటుంది. చాలా ransomware కార్యకలాపాలు ఆర్థికంగా ప్రేరేపించబడినప్పటికీ, ఇది సోమనియా విషయంలో కాదు. దాడి చేసేవారు తమ బెదిరింపు సాధనాన్ని డేటా వైపర్ లాగా ఉపయోగిస్తారు, అది బాధితుడు వారి డేటాను యాక్సెస్ చేయకుండా నిరోధిస్తుంది. దాడి చేసేవారు విమోచన క్రయధనం చెల్లించమని అభ్యర్థించరు, ఎందుకంటే అది వారి ప్రధాన లక్ష్యం కాదు.
CERT-UAలోని పరిశోధకులు సోమ్నియా ఇప్పటికీ చురుకైన అభివృద్ధిలో ఉన్నట్లు కనిపిస్తోందని గమనించారు. ఉదాహరణకు, ముప్పు యొక్క మునుపటి సంస్కరణలు అమర్చబడ్డాయి మరియు సిమెట్రిక్ 3DES అల్గారిథమ్పై ఆధారపడి ఉన్నాయి. అయినప్పటికీ, లక్ష్య ఫైల్ రకాల ఎన్క్రిప్షన్ కోసం AES అల్గారిథమ్ను అమలు చేయడానికి తరువాత పునరావృత్తులు మార్చబడ్డాయి.
