Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Gumagamit ang mga hacker ng Russia ng bagong ransomware strain na sinusubaybayan bilang Somnia, upang guluhin ang mga normal na aktibidad ng mga target sa Ukraine. Kasunod ng pagsalakay ng Russia sa bansang Ukraine, ang mga mananaliksik ng infosec ay patuloy na nag-ulat ng matinding pagtaas sa mga kampanya ng pag-atake laban sa mga entidad ng gobyerno at pribadong sektor ng Ukraine. Ang mga detalye tungkol sa Somnia Ransomware at mga operator nito ay nai-publish sa publiko sa isang ulat ng CERT-UA (Computer Emergency Response Team ng Ukraine).

Chain ng Impeksyon

Ayon sa kanilang mga natuklasan, ang mga cybercriminal na responsable sa mga pag-atake sa Somnia ay kabilang sa pinaniniwalaang isang pro-Russia hacktivist group na pinangalanang From Russia with Love (FRwL), na sinusubaybayan din bilang Z-Team at UAC-0118. Ginamit ng mga threat actor ang ransomware tool para maapektuhan ang pagpapatakbo ng mga automated system, pati na rin ang mga electronic computing machine na kabilang sa nalabag na target.

Ang mga eksperto sa Infosec ay nagbabala na ang FRwL ay gumagamit ng isang multi-layered na chain ng impeksyon na nagsasangkot ng ilang, iba't ibang mga tool sa pagbabanta. Ang paunang vector ng kompromiso ay nakumpirma na ang pag-download at pagpapatupad ng isang weaponized installer na nagpapanggap bilang 'Advanced IP scanner' software. Ang pekeng file ay ipinamamahagi sa pamamagitan ng mga nakalaang website na ginagaya ang mga lehitimong Web portal. Ang mga empleyado ng target na organisasyon na nahulog sa bitag ay mag-a-activate at mag-i-install ng banta ng Vidar Stealer sa kanilang mga computer.

Pagkatapos ay ginagamit ng mga banta ng aktor ang Vidar upang makuha ang data ng session ng Telegram ng biktima at pagkatapos ay kontrolin ang kanilang mga account. Ang mga nakompromisong account ay ginagamit ng mga umaatake sa paraang magbibigay-daan sa kanila na mangolekta ng data ng koneksyon sa VPN. Kung kulang ang VPN ng sapat na 2FA (Two-Factor Authentication) ang mga hacker ng FRwL ay makakakuha ng hindi awtorisadong access sa corporate network ng organisasyon. Pagkatapos, ang mga cybercriminal ay nagtatag ng Cobalt Strike beacon at magpatuloy sa pag-exfiltrate ng sensitibong data o magsagawa ng mga karagdagang aktibidad sa pagsubaybay.

Ang Mga Detalye ng Somnia Ransomware

Ang banta ng Somnia Ransomware ay maaaring makaapekto sa napakaraming iba't ibang uri ng file at i-encrypt ang mga ito gamit ang isang cryptographic algorithm. Ang bawat naka-lock na file ay magkakaroon ng '.somnia' na nakadugtong sa orihinal nitong pangalan. Bagama't karamihan sa mga pagpapatakbo ng ransomware ay pinansiyal na motibasyon, hindi ito ang kaso sa Somnia. Ginagamit ng mga umaatake ang kanilang tool sa pagbabanta na mas katulad ng isang data wiper na pipigil sa biktima na ma-access ang kanilang data. Ang mga umaatake ay hindi humihiling na mabayaran ng ransom, dahil hindi iyon ang kanilang pangunahing layunin.

Ang mga mananaliksik sa CERT-UA ay nagpapansin na ang Somnia ay lumilitaw na nasa ilalim pa rin ng aktibong pag-unlad. Halimbawa, ang mga naunang bersyon ng pagbabanta ay nilagyan at umasa sa simetriko na 3DES algorithm. Gayunpaman, ang mga pag-ulit sa ibang pagkakataon ay inilipat sa pagpapatakbo ng AES algorithm para sa pag-encrypt ng mga naka-target na uri ng file.

Trending

Pinaka Nanood

Naglo-load...