Hackers da Rússia com Amor Atacam Organizações da Ucrânia com Ransomware Somnia

Em um novo ataque de ransomware chamado Somnia, o grupo hacktivista russo infectou várias organizações na Ucrânia ao criptografar seus sistemas e problemas operacionais.

A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) – que funciona como parte do Serviço Estatal de Comunicação Especial e Proteção da Ucrânia, confirmou o surto por meio de seu portal.

A CERT-UA mencionou que os ataques eram do ‘Rússia com Amor (FRwl). Ou Z-Gen (que a CERT-UA mantém sob vigilância como UA-0118).

O grupo hacktivista havia revelado anteriormente o ransomware Somnia no Telegram e postou os ataques que realizaram em produtores de tanques na Ucrânia. Dito isso, a Ucrânia até agora não confirmou nenhuma tentativa de criptografia bem-sucedida pelo grupo hacktivista Rússia com Amor.

Agora, de acordo com a Equipe de Resposta a Emergências de Computador da Ucrânia, o grupo usa sites falsos que copiam o software Advance IP Scanner para enganar os funcionários das organizações ucranianas a baixarem um instalador.

O fato é que o instalador infecta o sistema com o Vidar Stealer, que por sua vez rouba o telegrama da vítima e assume o controle da conta. Além disso, a CERT-UA mencionou que, de alguma forma de maneira não identificada, o grupo hacktivista explorou a conta do telegrama da vítima para roubar os dados de conexão da VPN.

Bem, se a VPN não estiver protegida pela autenticação de 2 fatores, então o grupo pode usá-la para obter acesso não autorizado à rede corporativa do empregador da vítima. O hacker injeta um beacon Cobalt Strike, exfiltra dados e então usa Rclone, Anydesk e Ngrok para executar várias atividades de vigilância e acesso remoto.

Além disso, a CERT-UA disse que desde a primavera de 2022, esse grupo hacktivista russo Zgen realizou vários ataques com a ajuda de corretores de acesso inicial nas organizações da Ucrânia.

Além disso, as amostras mais recentes do ransomware, ou seja, Somnia, sugerem que os ataques dependem apenas dos algoritmos AES. Embora, no início, o ransomware Somnia usasse 3DES.

Estes são os tipos de arquivos visados pelo Somnia, incluindo imagens, documentos, vídeos, arquivos, bancos de dados e mais, que refletem os danos que estão tentando alcançar com esse ransomware.

O ransomware Somnia anexa a extensão .somnia ao nome dos arquivos criptografados quando está criptografando esses arquivos. Bem, ao contrário do ataque usual de ransomware, que pede à vítima que pague dinheiro em troca do descriptografador. No entanto, o ransomware Somnia está mais interessado em perturbar as operações do alvo do que em gerar receita.

Portanto, o ransomware Somnia é considerado um ataque de limpeza de dados em vez de um ataque de ransomware convencional.