Threat Database Ransomware Rançongiciel Somnia

Rançongiciel Somnia

Les pirates informatiques russes utilisent une nouvelle souche de rançongiciel appelée Somnia, pour perturber les activités normales des cibles en Ukraine. Suite à l'invasion russe du pays ukrainien, les chercheurs de l'infosec ont continuellement signalé une augmentation drastique des campagnes d'attaques contre le gouvernement ukrainien et les entités du secteur privé. Des détails sur le Somnia Ransomware et ses opérateurs ont été rendus publics dans un rapport du CERT-UA (Computer Emergency Response Team of Ukraine).

Chaîne d'infection

Selon leurs conclusions, les cybercriminels responsables des attaques de Somnia appartiennent à ce que l'on pense être un groupe hacktiviste pro-russe nommé From Russia with Love (FRwL), également suivi sous les noms de Z-Team et UAC-0118. Les acteurs de la menace ont utilisé l'outil rançongiciel pour affecter le fonctionnement des systèmes automatisés, ainsi que des machines informatiques électroniques appartenant à la cible piratée.

Les experts d'Infosec avertissent que FRwL utilise une chaîne d'infection à plusieurs niveaux qui implique plusieurs outils menaçants différents. Le vecteur de compromis initial est confirmé comme étant le téléchargement et l'exécution d'un programme d'installation armé se faisant passer pour un logiciel de "scanner IP avancé". Le faux fichier est distribué via des sites Web dédiés imitant des portails Web légitimes. Les employés de l'organisation ciblée qui tombent dans le piège activeront et installeront la menace Vidar Stealer sur leurs ordinateurs.

Les acteurs de la menace utilisent ensuite Vidar pour obtenir les données de session Telegram de la victime et ensuite prendre le contrôle de leurs comptes. Les comptes compromis sont exploités par les attaquants d'une manière qui leur permettra de collecter des données de connexion VPN. Si le VPN n'a pas suffisamment de 2FA (authentification à deux facteurs), les pirates FRwL obtiendront un accès non autorisé au réseau d'entreprise de l'organisation. Ensuite, les cybercriminels établissent une balise Cobalt Strike et procèdent à l'exfiltration de données sensibles ou à des activités de surveillance supplémentaires.

Les détails du rançongiciel Somnia

La menace Somnia Ransomware peut avoir un impact sur une grande quantité de types de fichiers différents et les chiffrer à l'aide d'un algorithme cryptographique. Chaque fichier verrouillé aura '.somnia' ajouté à son nom d'origine. Alors que la plupart des opérations de ransomware sont motivées par des raisons financières, ce n'est pas le cas avec Somnia. Les attaquants utilisent leur outil menaçant plus comme un effaceur de données qui empêchera la victime d'accéder à ses données. Les agresseurs ne demandent pas à être payés en rançon, car ce n'est pas leur objectif principal.

Les chercheurs du CERT-UA notent que Somnia semble toujours en cours de développement actif. Par exemple, les versions antérieures de la menace étaient équipées et s'appuyaient sur l'algorithme 3DES symétrique. Cependant, les itérations ultérieures ont été remplacées par l'exécution de l'algorithme AES pour le chiffrement des types de fichiers ciblés.

Tendance

Le plus regardé

Chargement...