Россия с любовью: Хактивисты атакуют украинские организации с помощью программ-вымогателей Somnia

В новой атаке программ-вымогателей под названием Somnia российская хактивистская группа заразила несколько организаций в Украине, зашифровав их системы и операционные проблемы.

Команда по реагированию на компьютерные инциденты Украины (CERT-UA) – которая функционирует в рамках Государственной службы специальной связи и защиты Украины, подтвердила вспышку через свой портал.

CERT-UA упомянула, что атаки исходят от «Россия с любовью (FRwl). Или Z-Gen (за которой CERT-UA следит как UA-0118).

Хактивистская группа ранее раскрыла программное обеспечение-вымогатель Somnia в Telegram и опубликовала атаки, которые они провели на производителей танков в Украине. Тем не менее, Украина до сих пор не подтвердила никаких успешных попыток шифрования со стороны группы хактивистов Россия с любовью.

Теперь, согласно Команде по реагированию на компьютерные инциденты Украины, группа использует поддельные веб-сайты, которые копируют программное обеспечение Advance IP Scanner, чтобы обмануть сотрудников украинских организаций и заставить их загрузить установщик.

Этот установщик заражает систему Vidar Stealer, который затем крадет Telegram жертвы и берет под контроль аккаунт. Также CERT-UA упомянула, что каким-то образом неустановленная группа хактивистов использовала аккаунт Telegram жертвы для кражи данных VPN-соединения.

Если VPN не защищен двухфакторной аутентификацией, то группа может использовать его для несанкционированного доступа к корпоративной сети жертвы. Хакер внедряет маяк Cobalt Strike, эксфильтрует данные, а затем использует Rclone, Anydesk и Ngrok для выполнения различных действий по наблюдению и удаленному доступу.

Кроме того, CERT-UA сообщила, что с весны 2022 года эта российская хактивистская группа Zgen провела несколько атак с помощью брокеров первоначального доступа на организации Украины.

Более того, последние образцы программ-вымогателей, т.е. Samnia, показывают, что атаки зависят только от алгоритмов AES. Хотя в начале программное обеспечение-вымогатель Somnia использовало 3DES.

Это типы файлов, на которые нацелена Somnia, включая изображения, документы, видео, архивы, базы данных и многое другое, что отражает ущерб, который они пытаются причинить с помощью этого программного обеспечения-вымогателя.

Программное обеспечение-вымогатель Somnia прикрепляет расширение .somnia к имени зашифрованных файлов, когда оно шифрует эти файлы. В отличие от обычной атаки программ-вымогателей, которая требует от жертвы уплаты денег в обмен на декриптор, программное обеспечение-вымогатель Somnia больше заинтересовано в нарушении операций цели, чем в получении дохода.

Таким образом, программное обеспечение-вымогатель Somnia считается атакой по уничтожению данных, а не традиционной атакой программ-вымогателей.