ロシアの愛を持ってハクティビストがウクライナの組織にSomniaランサムウェアで攻撃

新しいランサムウェア攻撃「Somnia」において、ロシアのハクティビストグループがウクライナの複数の組織を感染させ、システムを暗号化し、運用上の問題を引き起こしています。

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、ウクライナの特別通信および保護の国家サービスの一部として機能しており、彼らのポータルを通じてこの感染を確認しました。

CERT-UAは、攻撃が「ロシアの愛を持って（FRwl）」またはZ-Gen（CERT-UAがUA-0118として監視している）からのものであると述べました。

ハクティビストグループは以前、TelegramでSomniaランサムウェアを公開し、ウクライナの戦車製造業者に対して行った攻撃を投稿しました。それにもかかわらず、ウクライナは現在まで、ロシアの愛を持ってハクティビストグループによる成功した暗号化試行を確認していません。

現在、ウクライナのコンピュータ緊急対応チームによると、このグループはAdvance IP Scannerソフトウェアを模倣した偽のウェブサイトを使用して、ウクライナの組織の従業員を騙してインストーラーをダウンロードさせています。

そのインストーラーはシステムをVidar Stealerで感染させ、被害者のTelegramを盗み、アカウントを制御します。また、CERT-UAは、ハクティビストグループが被害者のTelegramアカウントを何らかの不明な方法で悪用し、VPN接続データを盗んだと述べました。

もしVPNが2要素認証で保護されていない場合、このグループは被害者の企業ネットワークに不正アクセスすることができます。ハッカーはCobalt Strikeビーコンを注入し、データを外部に流出させ、Rclone、Anydesk、Ngrokを使用してさまざまな監視およびリモートアクセス活動を実行します。

さらに、CERT-UAは、2022年春以来、このロシアのハクティビストZgenグループがウクライナの組織に対して初期アクセスブローカーの助けを借りていくつかの攻撃を行ってきたと述べました。

さらに、最新のランサムウェアのサンプル、つまりSamniaは、攻撃がAESアルゴリズムのみに依存していることを示唆しています。最初はSomniaランサムウェアが3DESを使用していました。

これらはSomniaによってターゲットにされるファイルタイプであり、画像、文書、ビデオ、アーカイブ、データベースなどが含まれ、彼らがこのランサムウェアで達成しようとしている損害を反映しています。

Somniaランサムウェアは、暗号化されたファイル名に.somnia拡張子を付加します。通常のランサムウェア攻撃とは異なり、被害者に復号化ツールの対価としてお金を支払うよう要求するのではなく、Somniaランサムウェアはターゲットの運用を妨害することにより、収益を上げることに関心があります。

したがって、Somniaランサムウェアは従来のランサムウェア攻撃よりもデータワイパー攻撃と見なされています。