Украина обвиняет российских хактивистов в использовании новой версии шифровальщика Somnia

Российские хактивисты зашифровали системы и вызвали перебои в работе нескольких украинских организаций, используя новую версию шифровальщика Somnia. CERT-UA подтвердила инцидент и обвинила во всем группировку From Russia with Love (FRwL), также известную как Z-Team, отслеживаемую по идентификатору UAC-0118.

Стоит отметить, что обвинения не беспочвенны: хактивисты сообщили о создании Somnia в своем Telegram-канале и даже разместили доказательства атак на украинскую организацию, занимающуюся производством танков.

Пост в Telegram-канале FRwL.

Проведенное CERT-UA расследование показало, что атака началась с того, что жертва загрузила и запустила файл, выдающий себя за ПО под названием “Advanced IP Scanner”, который на самом деле содержал в себе инфостилер Vidar. Этот вредонос крадет данные Telegram-сессии, что при отсутствии двухфакторной аутентификации и пасс-кода позволяет злоумышленникам получить доступ к учетной записи жертвы.

Как было установлено, Telegram-аккаунт нужен был хакерам для кражи данных о VPN-подключении (в том числе, сертификатов и аутентификационных данных). Получив удаленный доступ к компьютерной сети организации с помощью VPN, злоумышленники провели разведку (использя Netscan), запустили маячок Cobalt Strike и похитили ценные данные с помощью Rсlone. Кроме того, имеются признаки запуска Anydesk и Ngrok.

Специалисты отметили, что Somnia была модифицирована. Если в первой версии программы использовался симметричный алгоритм 3DES, то во второй версии реализован алгоритм AES. А учитывая динамичность динамичность ключа и вектора инициализации, CERT-UA предполагает, что эта версия вредоноса не предусматривает расшифровку данных.