Програмне забезпечення-вимагач Somnia

Російські хакери використовують новий штам програми-вимагача під назвою Somnia, щоб порушити нормальну діяльність цілей в Україні. Після російського вторгнення в Україну дослідники Infosec постійно повідомляли про різке збільшення кампаній атак проти українських державних і приватних організацій. Подробиці про програму-вимагач Somnia та її операторів були оприлюднені у звіті CERT-UA (Групи реагування на надзвичайні ситуації в області комп’ютерних ситуацій України).

Ланцюг зараження

Згідно з їхніми висновками, кіберзлочинці, відповідальні за атаки на Somnia, належать до, як вважають, проросійської хактивістської групи під назвою From Russia with Love (FRwL), яка також відстежується як Z-Team і UAC-0118. Зловмисники використовували програмне забезпечення-вимагач, щоб впливати на роботу автоматизованих систем, а також електронно-обчислювальних машин, що належать об’єкту зламу.

Експерти Infosec попереджають, що FRwL використовує багаторівневий ланцюжок зараження, який включає кілька різних загрозливих інструментів. Підтверджено, що початковим вектором компрометації є завантаження та виконання інсталятора, що маскується під програму «Advanced IP Scanner». Підроблений файл поширюється через спеціальні веб-сайти, що імітують законні веб-портали. Співробітники цільової організації, які потрапили на пастку, активують та встановлять загрозу Vidar Stealer на своїх комп’ютерах.

Потім зловмисники використовують Vidar, щоб отримати дані сеансу Telegram жертви та згодом отримати контроль над їхніми обліковими записами. Зловмисники використовують скомпрометовані облікові записи таким чином, щоб вони могли збирати дані VPN-з’єднання. Якщо VPN не має достатньої 2FA (двофакторної автентифікації), хакери FRwL отримають несанкціонований доступ до корпоративної мережі організації. Після цього кіберзлочинці встановлюють маяк Cobalt Strike і продовжують викрадати конфіденційні дані або виконувати додаткові заходи спостереження.

Деталі програми-вимагача Somnia

Загроза Somnia Ransomware може впливати на величезну кількість різних типів файлів і шифрувати їх за допомогою криптографічного алгоритму. До початкової назви кожного заблокованого файлу буде додано «.somnia». Хоча більшість операцій з програмами-вимагачами мотивовані фінансово, це не стосується Somnia. Зловмисники використовують свій погрозливий інструмент більше як очищувач даних, який перешкоджає жертві отримати доступ до їхніх даних. Зловмисники не вимагають викупу, оскільки це не є їх основною метою.

Дослідники CERT-UA відзначають, що Somnia все ще знаходиться в стадії активної розробки. Наприклад, попередні версії загрози були оснащені та покладалися на симетричний алгоритм 3DES. Однак пізніші ітерації були переключені на запуск алгоритму AES для шифрування цільових типів файлів.