Russia con Amore Attacchi Hacktivisti alle Organizzazioni Ucraine con Ransomware Somnia

In un nuovo attacco ransomware chiamato Somnia, il gruppo hacktivista russo ha infettato diverse organizzazioni in Ucraina crittografando i loro sistemi e i problemi operativi.

Il Computer Emergency Response Team dell’Ucraina (CERT-UA) – che funge da parte del Servizio Statale per le Comunicazioni Speciali e la Protezione dell’Ucraina, ha confermato l’epidemia tramite il loro portale.

Il CERT-UA ha menzionato che gli attacchi provenivano da ‘Russia con Amore (FRwl). O Z-Gen (che il CERT-UA tiene d’occhio come UA-0118).

Il gruppo hacktivista aveva precedentemente rivelato il ransomware Somnia su Telegram e pubblicato gli attacchi che hanno effettuato sui produttori di carri armati in Ucraina. Detto ciò, l’Ucraina fino ad ora non ha confermato alcun tentativo di crittografia riuscito da parte del gruppo hacktivista Russia con Amore.

Ora, secondo il Computer Emergency Response Team dell’Ucraina, il gruppo utilizza siti web falsi che copiano il software Advance IP Scanner per ingannare i dipendenti delle organizzazioni ucraine a scaricare un installer.

Il fatto che l’installer infetti il sistema con il Vidar Stealer, che a sua volta ruba il telegram del vittima e prende il controllo dell’account. Inoltre, il CERT-UA ha menzionato che in qualche modo in un modo non identificato, il gruppo hacktivista ha sfruttato l’account telegram della vittima per rubare i dati di connessione VPN.

Bene, se la VPN non è protetta da un’autenticazione a 2 fattori, allora il gruppo può usarla per ottenere accesso non autorizzato alla rete aziendale del vittima. L’hacker inietta un beacon Cobalt Strike, esfiltra dati e poi utilizza Rclone, Anydesk e Ngrok per eseguire varie attività di sorveglianza e accesso remoto.

Inoltre, il CERT-UA ha detto che dalla primavera del 2022, questo gruppo hacktivista russo Zgen ha effettuato diversi attacchi con l’aiuto di broker di accesso iniziale sulle organizzazioni ucraine.

Inoltre, gli ultimi campioni del ransomware, cioè Somnia, suggeriscono che gli attacchi dipendono solo dagli algoritmi AES. Anche se, all’inizio, il ransomware Somnia utilizzava 3DES.

Questi sono i tipi di file presi di mira da Somnia, inclusi immagini, documenti, video, archivi, database e altro, che riflettono il danno che stanno cercando di ottenere con questo ransomware.

Il ransomware Somnia allega l’estensione .somnia al nome dei file crittografati quando sta crittografando quei file. Bene, a differenza del solito attacco ransomware, che chiede alla vittima di pagare denaro in cambio del decrittore. Tuttavia, il ransomware Somnia è più interessato a disturbare le operazioni del bersaglio piuttosto che a generare entrate.

Pertanto, il ransomware Somnia è considerato un attacco di cancellazione dei dati piuttosto che un attacco ransomware convenzionale.