Russie avec amour : attaques de hacktivistes contre des organisations ukrainiennes avec le ransomware Somnia

Dans une nouvelle attaque par ransomware appelée Somnia, le groupe hacktiviste russe a infecté plusieurs organisations en Ukraine en cryptant leurs systèmes et en provoquant des problèmes opérationnels.

L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) – qui fonctionne dans le cadre du Service d’État pour les communications spéciales et la protection de l’Ukraine, a confirmé l’épidémie via leur portail.

Le CERT-UA a mentionné que les attaques provenaient de ‘Russie avec amour (FRwl). Ou Z-Gen (que le CERT-UA surveille sous le nom de UA-0118).

Le groupe hacktiviste avait précédemment révélé le ransomware Somnia sur Telegram et a publié les attaques qu’ils ont menées contre des producteurs de tanks en Ukraine. Cela dit, jusqu’à présent, l’Ukraine n’a pas confirmé d’éventuelles tentatives de cryptage réussies par le groupe hacktiviste Russie avec amour.

Maintenant, selon l’équipe d’intervention d’urgence informatique d’Ukraine, le groupe utilise de faux sites Web qui imitent le logiciel Advance IP Scanner pour tromper les employés des organisations ukrainiennes afin qu’ils téléchargent un installateur.

Le fait que l’installateur infecte le système avec le Vidar Stealer, qui à son tour vole le Telegram de la victime et prend le contrôle du compte. De plus, le CERT-UA a mentionné que d’une manière non identifiée, le groupe hacktiviste a exploité le compte Telegram de la victime pour voler les données de connexion VPN.

Eh bien, si le VPN n’est pas sécurisé par une authentification à deux facteurs, alors le groupe peut l’utiliser pour obtenir un accès non autorisé au réseau de l’employeur de la victime. Le hacker injecte un beacon Cobalt Strike, exfiltre des données, puis utilise Rclone, Anydesk et Ngrok pour exécuter diverses activités de surveillance et d’accès à distance.

De plus, le CERT-UA a déclaré que depuis le printemps 2022, ce groupe hacktiviste russe Zgen a mené plusieurs attaques avec l’aide de courtiers d’accès initial sur les organisations ukrainiennes.

De plus, les derniers échantillons du ransomware, c’est-à-dire Samnia, suggèrent que les attaques dépendent uniquement des algorithmes AES. Bien qu’au début, le ransomware Somnia utilisait 3DES.

Voici les types de fichiers ciblés par Somnia, y compris des images, des documents, des vidéos, des archives, des bases de données, et plus encore, qui reflètent les dommages qu’ils essaient d’atteindre avec ce ransomware.

Le ransomware Somnia attache l’extension .somnia au nom des fichiers cryptés lorsqu’il crypte ces fichiers. Eh bien, contrairement à l’attaque de ransomware habituelle, qui demande à la victime de payer de l’argent en échange du décryptage. Cependant, le ransomware Somnia est plus intéressé par la perturbation des opérations cibles que par la génération de revenus.

Ainsi, le ransomware Somnia est considéré comme une attaque de suppression de données plutôt qu’une attaque de ransomware conventionnelle.