Threat Database Ransomware Somnia Fidye Yazılımı

Somnia Fidye Yazılımı

Rus bilgisayar korsanları, Ukrayna'daki hedeflerin normal faaliyetlerini bozmak için Somnia olarak izlenen yeni bir fidye yazılımı türü kullanıyor. Rusya'nın Ukrayna ülkesini işgal etmesinin ardından, bilgi güvenliği araştırmacıları, Ukrayna hükümetine ve özel sektör kuruluşlarına yönelik saldırı kampanyalarında sürekli olarak ciddi bir artış olduğunu bildirdi. Somnia Fidye Yazılımı ve operatörleri hakkındaki ayrıntılar, CERT-UA (Ukrayna Bilgisayar Acil Durum Müdahale Ekibi) tarafından hazırlanan bir raporda kamuoyuna açıklandı.

Enfeksiyon Zinciri

Bulgularına göre, Somnia saldırılarından sorumlu olan siber suçlular, yine Z-Team ve UAC-0118 olarak izlenen From Russia with Love (FRwL) adlı Rusya yanlısı bir bilgisayar korsanı grubuna ait. Tehdit aktörleri, ihlal edilen hedefe ait elektronik bilgi işlem makinelerinin yanı sıra otomatik sistemlerin işleyişini etkilemek için fidye yazılımı aracını kullandı.

Infosec uzmanları, FRwL'nin birkaç farklı tehdit aracı içeren çok katmanlı bir enfeksiyon zinciri kullandığı konusunda uyarıyor. İlk uzlaşma vektörünün, 'Gelişmiş IP tarayıcı' yazılımı kılığına giren silahlı bir yükleyicinin indirilmesi ve çalıştırılması olduğu doğrulandı. Sahte dosya, meşru Web portallarını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Tuzağa düşen hedef kuruluş çalışanları, Vidar Stealer tehdidini etkinleştirerek bilgisayarlarına yükleyecektir.

Tehdit aktörleri daha sonra kurbanın Telegram oturum verilerini elde etmek ve ardından hesaplarının kontrolünü ele geçirmek için Vidar'ı kullanır. Güvenliği ihlal edilmiş hesaplar, saldırganlar tarafından VPN bağlantı verilerini toplamalarına izin verecek şekilde kullanılır. VPN'de yeterli 2FA (İki Faktörlü Kimlik Doğrulama) yoksa, FRwL bilgisayar korsanları kuruluşun kurumsal ağına yetkisiz erişim elde eder. Ardından, siber suçlular bir Cobalt Strike işareti oluşturur ve hassas verileri sızdırmaya veya ek gözetim faaliyetleri gerçekleştirmeye devam eder.

Somnia Fidye Yazılımı Ayrıntıları

Somnia Fidye Yazılımı tehdidi, çok sayıda farklı dosya türünü etkileyebilir ve bunları bir kriptografik algoritma kullanarak şifreleyebilir. Her kilitli dosyanın orijinal adının sonuna '.somnia' eklenir. Fidye yazılımı operasyonlarının çoğu finansal amaçlı olsa da, Somnia'da durum böyle değil. Saldırganlar, tehdit araçlarını kurbanın verilerine erişmesini engelleyecek bir veri silecek gibi kullanır. Saldırganlar, asıl amaçları bu olmadığı için fidye ödenmesini talep etmezler.

CERT-UA'daki araştırmacılar, Somnia'nın hala aktif geliştirme aşamasında olduğunu belirtiyor. Örneğin, tehdidin önceki sürümleri simetrik 3DES algoritmasına dayanıyordu. Ancak, sonraki yinelemeler, hedeflenen dosya türlerinin şifrelenmesi için AES algoritmasını çalıştırmaya geçti.

trend

En çok görüntülenen

Yükleniyor...