ΑρχικήsecurityΟυκρανία: Ρώσοι hackers χρησιμοποιούν το Somnia ransomware

Ουκρανία: Ρώσοι hackers χρησιμοποιούν το Somnia ransomware

Ρώσοι hacktivists χρησιμοποίησαν ένα νέο στέλεχος ransomware με την ονομασία “Somnia” για να κρυπτογραφήσουν τα συστήματα πολλών οργανισμών στην Ουκρανία.

Somnia ransomware

Το Computer Emergency Response Team of Ukraine (CERT-UA) έκανε λόγο για τις ransomware επιθέσεις και τις απέδωσε στην ομάδα ‘From Russia with Love‘ (FRwL), επίσης γνωστή ως ‘Z-Team‘. Το CERT-UA την παρακολουθεί ως UAC-0118.

Στο παρελθόν, αυτή η ομάδα είχε ανακοινώσει τη δημιουργία του ransomware Somnia στο Telegram και είχε δημοσιεύσει ακόμη και στοιχεία των επιθέσεών της εναντίον στόχων που βρίσκονται στην Ουκρανία.

Δείτε επίσης: Scam: Εκβιαστές στοχεύουν ιδιοκτήτες sites και απειλούν με διαρροή δεδομένων

Η Ουκρανία δεν έχει επιβεβαιώσει καμία επιτυχημένη επίθεση κρυπτογράφησης από την hacking ομάδα μέχρι σήμερα.

FRwL: Λεπτομέρειες ransomware επίθεσης

Σύμφωνα με το CERT-UA, η hacking ομάδα χρησιμοποιεί ψεύτικους ιστότοπους για να μιμηθεί το λογισμικό “Advanced IP Scanner” και να εξαπατήσει τους υπαλλήλους ουκρανικών οργανισμών ώστε να κατεβάσουν ένα πρόγραμμα εγκατάστασης (installer).

Στην πραγματικότητα, το installer μολύνει το σύστημα με το Vidar stealer malware, που κλέβει τα Telegram session data του θύματος για να πάρει τον έλεγχο του λογαριασμού του.

Έπειτα, σύμφωνα με το CERT-UA, οι επιτιθέμενοι χρησιμοποιούν το λογαριασμό Telegram του θύματος για να κλέψουν δεδομένα σύνδεσης VPN.

Εάν ο λογαριασμός VPN δεν διαθέτει έλεγχο ταυτότητας δύο παραγόντων, οι hackers μπορούν να τον χρησιμοποιήσουν για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο εταιρικό δίκτυο του υπαλλήλου που παραβίασαν.

Δείτε επίσης: Phishing κάνει drop IceXLoader malware σε χιλιάδες συσκευές

Στη συνέχεια, οι επιτιθέμενοι εγκαθιστούν ένα Cobalt Strike beacon, κλέβουν δεδομένα και χρησιμοποιούν τα Netscan, Rclone, Anydesk και Ngrok για διάφορες δραστηριότητες απομακρυσμένης πρόσβασης. Έπειτα γίνεται εγκατάσταση του Somnia ransomware.

Το CERT-UA έχει δηλώσει ότι η FRwL, με τη βοήθεια αρχικών διαμεσολαβητών πρόσβασης, έχει εκτελέσει μια σειρά επιθέσεων εναντίον ουκρανικών οργανισμών από τις αρχές της άνοιξης του 2022.

Ο οργανισμός σημείωσε επίσης ότι τα πρόσφατα δείγματα του στελέχους ransomware Somnia χρησιμοποιούσαν AES, ενώ οι προηγούμενες εκδόσεις χρησιμοποιούσαν 3DES.

Το Somnia ransomware στοχεύει πολλούς τύπους αρχείων. Σε αυτούς περιλαμβάνονται έγγραφα, εικόνες, βάσεις δεδομένων, αρχεία, αρχεία βίντεο και άλλα. Οι δημιουργοί αυτού του στελέχους στοχεύουν ξεκάθαρα στο να προκαλέσουν όσο το δυνατόν μεγαλύτερη καταστροφή.

Το Ransomware προσθέτει την επέκταση .somnia στο όνομα ενός αρχείου κατά τη διάρκεια της διαδικασίας κρυπτογράφησης.

Δείτε επίσης: Venus ransomware: Στοχεύει οργανισμούς υγειονομικής περίθαλψης των ΗΠΑ

Οι χειριστές του Somnia ransomware θέλουν κυρίως να προκαλέσουν προβλήματα στη λειτουργία των στόχων, γι’ αυτό και δεν ζητούν λύτρα σε αντάλλαγμα για ένα λειτουργικό εργαλείο αποκρυπτογράφησης.

Επομένως, αυτό το κακόβουλο λογισμικό ίσως θεωρείται περισσότερο data wiper παρά ένα παραδοσιακό ransomware.

Ρωσία Ουκρανία

Κυβερνοπόλεμος μεταξύ Ρωσίας και Ουκρανίας

Από τότε που ξεκίνησε ο πόλεμος μεταξύ Ρωσίας-Ουκρανίας, ξεκίνησε και ένας κυβερνοπόλεμος, με τη Ρωσία να πραγματοποιεί συνεχώς hacking επιθέσεις εναντίον οργανισμών της Ουκρανίας.

Με τη σειρά της, η Ουκρανία έχει στρατολογήσει hackers από διάφορα μέρη του κόσμου για να αντιμετωπίσουν τις επιθέσεις και να εξαπολύσουν άλλες επιθέσεις εναντίον της Ρωσίας.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS