Hacktivistas de Rusia atacan organizaciones de Ucrania con ransomware Somnia

En un nuevo ataque de ransomware llamado Somnia, el grupo hacktivista ruso ha infectado a múltiples organizaciones en Ucrania al cifrar sus sistemas y problemas operativos.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) – que funciona como parte del Servicio Estatal de Comunicación Especial y Protección de Ucrania, confirmó el brote a través de su portal.

El CERT-UA mencionó que los ataques eran de ‘Rusia con Amor (FRwl). O Z-Gen (que el CERT-UA mantiene bajo vigilancia como UA-0118).

El grupo hacktivista había revelado anteriormente el ransomware Somnia en Telegram y publicó los ataques que llevaron a cabo contra productores de tanques en Ucrania. Dicho esto, Ucrania hasta ahora no ha confirmado ningún intento de cifrado exitoso por parte del grupo hacktivista Rusia con Amor.

Ahora, según el Equipo de Respuesta a Emergencias Informáticas de Ucrania, el grupo utiliza sitios web falsos que copian el software Advance IP Scanner para engañar a los empleados de las organizaciones de Ucrania para que descarguen un instalador.

El hecho de que el instalador infecta el sistema con el Vidar Stealer, que a su vez roba el telegrama de la víctima y toma control de la cuenta. Además, el CERT-UA mencionó que de alguna manera de forma no identificada, el grupo hacktivista explotó la cuenta de telegrama de la víctima para robar los datos de conexión de la VPN.

Bueno, si la VPN no está asegurada por la autenticación de 2 factores, entonces el grupo puede usarla para obtener acceso no autorizado a la red corporativa del empleador de la víctima. El hacker inyecta un faro de Cobalt Strike, exfiltra datos y luego utiliza Rclone, Anydesk y Ngrok para ejecutar diversas actividades de vigilancia y acceso remoto.

Además, el CERT-UA dijo que desde la primavera de 2022, este grupo hacktivista ruso Zgen ha llevado a cabo varios ataques con la ayuda de corredores de acceso inicial en las organizaciones de Ucrania.

Además, las últimas muestras del ransomware, es decir, Samnia, sugieren que los ataques dependen únicamente de los algoritmos AES. Aunque, al principio, el ransomware Somnia utilizó 3DES.

Estos son los tipos de archivos objetivo de Somnia, incluidos imágenes, documentos, videos, archivos, bases de datos y más, que reflejan el daño que intentan lograr con este ransomware.

El ransomware Somnia adjunta la extensión .somnia al nombre de los archivos cifrados cuando está cifrando esos archivos. Bueno, a diferencia del ataque de ransomware habitual, que le pide a la víctima que pague dinero a cambio del descifrador. Sin embargo, el ransomware Somnia está más interesado en perturbar las operaciones del objetivo que en generar ingresos.

Por lo tanto, el ransomware Somnia se considera un ataque de borrado de datos en lugar de un ataque de ransomware convencional.