Russland mit Liebe Hacktivisten greift ukrainische Organisationen mit Somnia Ransomware an

In einem neuen Ransomware-Angriff namens Somnia hat die russische Hacktivistengruppe mehrere Organisationen in der Ukraine infiziert, indem sie deren Systeme verschlüsselt und betriebliche Probleme verursacht hat.

Das Computer Emergency Response Team der Ukraine (CERT-UA) – das als Teil des Staatlichen Dienstes für besondere Kommunikation und Schutz der Ukraine fungiert – bestätigte den Ausbruch über ihr Portal.

Die CERT-UA erwähnte, dass die Angriffe von ‚Russland mit Liebe (FRwl)‘ stammen. Oder Z-Gen (auf die die CERT-UA als UA-0118 ein Auge hat).

Die Hacktivistengruppe hatte zuvor die Somnia-Ransomware auf Telegram enthüllt und die Angriffe veröffentlicht, die sie auf Panzerproduzenten in der Ukraine durchgeführt hat. Bis jetzt hat die Ukraine jedoch keine erfolgreichen Verschlüsselungsversuche durch die Hacktivistengruppe Russland mit Liebe bestätigt.

Jetzt, laut dem Computer Emergency Response Team der Ukraine, verwendet die Gruppe gefälschte Websites, die die Software Advance IP Scanner kopieren, um die Mitarbeiter der ukrainischen Organisationen dazu zu bringen, einen Installer herunterzuladen.

Der Installer infiziert das System mit dem Vidar Stealer, der dann das Telegramm des Opfers stiehlt und die Kontrolle über das Konto übernimmt. Außerdem erwähnte die CERT-UA, dass die Hacktivistengruppe auf unbekannte Weise das Telegramm-Konto des Opfers ausgenutzt hat, um die VPN-Verbindungsdaten zu stehlen.

Wenn das VPN nicht durch die 2-Faktor-Authentifizierung gesichert ist, kann die Gruppe es nutzen, um unbefugten Zugriff auf das Unternehmensnetzwerk des Opfers zu erhalten. Der Hacker injiziert ein Cobalt Strike Beacon, exfiltriert Daten und verwendet dann Rclone, Anydesk und Ngrok, um verschiedene Überwachungs- und Fernzugriffsaktivitäten durchzuführen.

Darüber hinaus sagte die CERT-UA, dass diese russische Hacktivistengruppe Zgen seit dem Frühjahr 2022 mehrere Angriffe mit Hilfe von Initial Access Brokers auf ukrainische Organisationen durchgeführt hat.

Außerdem deuten die neuesten Proben der Ransomware, d.h. Samnia, darauf hin, dass die Angriffe nur auf den AES-Algorithmen basieren. Obwohl die Somnia-Ransomware zu Beginn 3DES verwendete.

Dies sind die Dateitypen, die von Somnia angegriffen werden, einschließlich Bilder, Dokumente, Videos, Archive, Datenbanken und mehr, die den Schaden widerspiegeln, den sie mit dieser Ransomware zu erreichen versuchen.

Die Somnia-Ransomware fügt den verschlüsselten Dateinamen die .somnia-Erweiterung hinzu, wenn sie diese Dateien verschlüsselt. Im Gegensatz zu einem üblichen Ransomware-Angriff, der das Opfer auffordert, Geld im Austausch für den Entschlüsseler zu zahlen, ist die Somnia-Ransomware mehr daran interessiert, die Zieloperationen zu stören, als Einnahmen zu generieren.

Daher wird die Somnia-Ransomware als Datenwiper-Angriff betrachtet, anstatt als konventioneller Ransomware-Angriff.