ソムニア ランサムウェア

ロシアのハッカーは、Somnia として追跡される新しいランサムウェア株を使用して、ウクライナの標的の通常の活動を妨害しています。ロシアによるウクライナ侵攻後、情報セキュリティの研究者は、ウクライナ政府および民間企業に対する攻撃キャンペーンが大幅に増加していることを継続的に報告しています。 Somnia ランサムウェアとそのオペレーターに関する詳細は、CERT-UA (ウクライナのコンピューター緊急対応チーム) によるレポートで公開されました。

感染連鎖

彼らの調査結果によると、Somnia 攻撃に関与したサイバー犯罪者は、Z-Team および UAC-0118 としても追跡されている From Russia with Love (FRwL) という名前の親ロシア ハクティビスト グループであると考えられているグループに属しています。脅威アクターは、ランサムウェア ツールを使用して、自動化されたシステムの動作と、侵害されたターゲットに属する電子計算機に影響を与えました。

Infosec の専門家は、FRwL が複数の異なる脅威ツールを含む多層的な感染チェーンを利用していると警告しています。最初の侵入経路は、「高度な IP スキャナー」ソフトウェアを装った武器化されたインストーラーのダウンロードと実行であることが確認されています。偽のファイルは、正規の Web ポータルを模倣した専用の Web サイトを通じて配布されています。標的にされた組織の従業員が罠にはまった場合、 Vidar Stealerの脅威がアクティブになり、コンピューターにインストールされます。

その後、攻撃者は Vidar を使用して被害者の Telegram セッション データを取得し、アカウントを制御します。攻撃者は、侵害されたアカウントを利用して、VPN 接続データを収集できるようにします。 VPN が十分な 2FA (2 要素認証) を欠いている場合、FRwL ハッカーは組織の企業ネットワークへの不正アクセスを取得します。その後、サイバー犯罪者はCobalt Strikeビーコンを確立し、機密データを盗み出したり、追加の監視活動を実行したりします。

Somnia ランサムウェアの詳細

Somnia Ransomware の脅威は、膨大な量のさまざまな種類のファイルに影響を与え、暗号化アルゴリズムを使用してそれらを暗号化する可能性があります。ロックされた各ファイルには、元の名前に「.somnia」が追加されます。ほとんどのランサムウェア オペレーションは金銭目的ですが、Somnia の場合はそうではありません。攻撃者は、被害者が自分のデータにアクセスできないようにするデータ ワイパーのような脅威ツールを使用します。攻撃者は身代金の支払いを要求しません。それが彼らの主な目的ではないからです。

CERT-UA の研究者は、Somnia がまだ活発に開発されているように見えることに注目しています。たとえば、この脅威の以前のバージョンは対称 3DES アルゴリズムに依存していました。ただし、その後の反復は、対象のファイル タイプの暗号化のために AES アルゴリズムの実行に切り替えられました。