Эта версия больше похожа на вайпер – она не предусматривает расшифровку данных.
Российские хактивисты зашифровали системы и вызвали перебои в работе нескольких украинских организаций, используя новую версию шифровальщика Somnia. CERT-UA подтвердила инцидент и обвинила во всем группировку From Russia with Love (FRwL), также известную как Z-Team, отслеживаемую по идентификатору UAC-0118.
Стоит отметить, что обвинения не беспочвенны: хактивисты сообщили о создании Somnia в своем Telegram-канале и даже разместили доказательства атак на украинскую организацию, занимающуюся производством танков.
Пост в Telegram-канале FRwL.
Проведенное CERT-UA расследование показало, что атака началась с того, что жертва загрузила и запустила файл, выдающий себя за ПО под названием “Advanced IP Scanner”, который на самом деле содержал в себе инфостилер Vidar. Этот вредонос крадет данные Telegram-сессии, что при отсутствии двухфакторной аутентификации и пасс-кода позволяет злоумышленникам получить доступ к учетной записи жертвы.
Как было установлено, Telegram-аккаунт нужен был хакерам для кражи данных о VPN-подключении (в том числе, сертификатов и аутентификационных данных). Получив удаленный доступ к компьютерной сети организации с помощью VPN, злоумышленники провели разведку (использя Netscan), запустили маячок Cobalt Strike и похитили ценные данные с помощью Rсlone. Кроме того, имеются признаки запуска Anydesk и Ngrok.
Специалисты отметили, что Somnia была модифицирована. Если в первой версии программы использовался симметричный алгоритм 3DES, то во второй версии реализован алгоритм AES. А учитывая динамичность динамичность ключа и вектора инициализации, CERT-UA предполагает, что эта версия вредоноса не предусматривает расшифровку данных.
- Источник новости
- https://www.securitylab.ru/news/534765.php