사랑을 담아 러시아 해커들이 우크라이나 조직에 Somnia 랜섬웨어 공격

새로운 랜섬웨어 공격인 Somnia에서 러시아 해커 그룹이 우크라이나의 여러 조직을 감염시켜 시스템을 암호화하고 운영 문제를 일으켰습니다.

우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 우크라이나 특별 통신 및 보호 국가 서비스의 일환으로 기능하며, 포털을 통해 발생을 확인했습니다.

CERT-UA는 공격이 ‘사랑을 담아 러시아(FRwl)’ 또는 Z-Gen(UA-0118로 주시 중)에서 발생했다고 언급했습니다.

해커 그룹은 이전에 텔레그램에서 Somnia 랜섬웨어를 공개하고 우크라이나의 탱크 제조업체에 대한 공격을 게시했습니다. 그러나 현재까지 우크라이나는 러시아 해커 그룹에 의한 성공적인 암호화 시도를 확인하지 않았습니다.

현재 우크라이나 컴퓨터 비상 대응팀에 따르면, 이 그룹은 우크라이나 조직 직원들이 설치 프로그램을 다운로드하도록 속이기 위해 Advance IP Scanner 소프트웨어를 복사한 가짜 웹사이트를 사용합니다.

설치 프로그램은 시스템을 Vidar Stealer로 감염시키며, 이는 피해자의 텔레그램을 훔치고 계정을 제어합니다. 또한 CERT-UA는 해커 그룹이 피해자의 텔레그램 계정을 이용해 VPN 연결 데이터를 훔쳤다고 언급했습니다.

VPN이 2단계 인증으로 보호되지 않는 경우, 이 그룹은 이를 사용하여 피해자의 기업 네트워크에 무단으로 접근할 수 있습니다. 해커는 Cobalt Strike 비콘을 주입하고 데이터를 유출한 후 Rclone, Anydesk 및 Ngrok을 사용하여 다양한 감시 및 원격 액세스 활동을 수행합니다.

또한 CERT-UA는 2022년 봄 이후 이 러시아 해커 그룹 Zgen이 우크라이나 조직에 대한 여러 공격을 초기 접근 브로커의 도움으로 수행했다고 밝혔습니다.

더욱이, 최신 랜섬웨어 샘플인 Somnia는 공격이 오직 AES 알고리즘에 의존하고 있음을 시사합니다. 처음에는 Somnia 랜섬웨어가 3DES를 사용했습니다.

Somnia가 목표로 하는 파일 유형에는 이미지, 문서, 비디오, 아카이브, 데이터베이스 등이 포함되어 있으며, 이는 이 랜섬웨어가 달성하고자 하는 피해를 반영합니다.

Somnia 랜섬웨어는 파일을 암호화할 때 암호화된 파일 이름에 .somnia 확장자를 추가합니다. 일반적인 랜섬웨어 공격과 달리 피해자에게 복호화기를 대가로 돈을 요구하지 않습니다. 그러나 Somnia 랜섬웨어는 수익을 창출하기보다는 목표 운영을 방해하는 데 더 관심이 있습니다.

따라서 Somnia 랜섬웨어는 전통적인 랜섬웨어 공격보다 데이터 삭제 공격으로 간주됩니다.