Threat Database Ransomware ซอมเนีย แรนซัมแวร์

ซอมเนีย แรนซัมแวร์

แฮ็กเกอร์ชาวรัสเซียกำลังใช้แรนซั่มแวร์สายพันธุ์ใหม่ที่ติดตามในชื่อ Somnia เพื่อขัดขวางกิจกรรมปกติของเป้าหมายในยูเครน หลังจากการรุกรานประเทศยูเครนของรัสเซีย นักวิจัยของอินโฟเซกได้รายงานอย่างต่อเนื่องถึงการรณรงค์โจมตีต่อหน่วยงานภาครัฐและเอกชนของยูเครนที่เพิ่มขึ้นอย่างมาก รายละเอียดเกี่ยวกับซอมเนียแรนซัมแวร์และโอเปอเรเตอร์ได้รับการเผยแพร่สู่สาธารณะในรายงานโดย CERT-UA (ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน)

ห่วงโซ่การติดเชื้อ

อาชญากรไซเบอร์ที่รับผิดชอบการโจมตีซอมเนียอยู่ในกลุ่มแฮ็กติวิสต์โปรรัสเซียที่มีชื่อว่า From Russia with Love (FRwL) ซึ่งถูกติดตามในชื่อ Z-Team และ UAC-0118 ผู้คุกคามใช้เครื่องมือแรนซัมแวร์เพื่อส่งผลกระทบต่อการทำงานของระบบอัตโนมัติ เช่นเดียวกับเครื่องคอมพิวเตอร์อิเล็กทรอนิกส์ที่เป็นของเป้าหมายที่ถูกเจาะ

ผู้เชี่ยวชาญของ Infosec เตือนว่า FRwL ใช้สายการติดไวรัสแบบหลายชั้นซึ่งเกี่ยวข้องกับเครื่องมือคุกคามต่างๆ มากมาย เวกเตอร์การประนีประนอมเริ่มต้นได้รับการยืนยันว่าเป็นการดาวน์โหลดและการดำเนินการของโปรแกรมติดตั้งอาวุธที่ปลอมตัวเป็นซอฟต์แวร์ 'สแกนเนอร์ IP ขั้นสูง' ไฟล์ปลอมถูกเผยแพร่ผ่านเว็บไซต์เฉพาะที่เลียนแบบเว็บพอร์ทัลที่ถูกต้องตามกฎหมาย พนักงานขององค์กรเป้าหมายที่ตกหลุมพรางจะเปิดใช้งานและติดตั้งภัยคุกคาม Vidar Stealer บนคอมพิวเตอร์ของตน

จากนั้นผู้คุกคามใช้ Vidar เพื่อรับข้อมูลเซสชัน Telegram ของเหยื่อและเข้าควบคุมบัญชีของพวกเขาในภายหลัง บัญชีที่ถูกบุกรุกนั้นใช้ประโยชน์จากผู้โจมตีในลักษณะที่จะทำให้พวกเขาสามารถรวบรวมข้อมูลการเชื่อมต่อ VPN หาก VPN ขาด 2FA (Two-Factor Authentication) ที่เพียงพอ แฮ็กเกอร์ FRwL จะเข้าถึงเครือข่ายองค์กรขององค์กรโดยไม่ได้รับอนุญาต หลังจากนั้น อาชญากรไซเบอร์จะสร้างสัญญาณ Cobalt Strike และดำเนินการเพื่อกรองข้อมูลที่สำคัญหรือดำเนินการกิจกรรมการเฝ้าระวังเพิ่มเติม

รายละเอียด Somnia Ransomware

ภัยคุกคาม Somnia Ransomware สามารถส่งผลกระทบต่อไฟล์ประเภทต่างๆ จำนวนมาก และเข้ารหัสโดยใช้อัลกอริทึมการเข้ารหัส ไฟล์ที่ถูกล็อคแต่ละไฟล์จะมี '.somnia' ต่อท้ายชื่อเดิม แม้ว่าการดำเนินการแรนซัมแวร์ส่วนใหญ่จะมีแรงจูงใจทางการเงิน แต่นี่ไม่ใช่กรณีของซอมเนีย ผู้โจมตีใช้เครื่องมือคุกคามเหมือนกับตัวล้างข้อมูลที่จะป้องกันไม่ให้เหยื่อเข้าถึงข้อมูลของตน ผู้โจมตีไม่เรียกร้องค่าไถ่ เนื่องจากนั่นไม่ใช่เป้าหมายหลักของพวกเขา

นักวิจัยจาก CERT-UA ทราบว่า Somnia ดูเหมือนจะยังอยู่ระหว่างการพัฒนา ตัวอย่างเช่น ภัยคุกคามเวอร์ชันก่อนหน้าได้รับการติดตั้งและอาศัยอัลกอริทึม 3DES แบบสมมาตร อย่างไรก็ตาม การทำซ้ำในภายหลังได้เปลี่ยนไปใช้อัลกอริทึม AES สำหรับการเข้ารหัสประเภทไฟล์เป้าหมาย

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...