Somnia ransomware

Los piratas informáticos rusos están utilizando una nueva cepa de ransomware rastreada como Somnia para interrumpir las actividades normales de los objetivos en Ucrania. Tras la invasión rusa del país de Ucrania, los investigadores de infosec han informado continuamente de un aumento drástico en las campañas de ataque contra el gobierno ucraniano y las entidades del sector privado. Los detalles sobre Somnia Ransomware y sus operadores se publicaron al público en un informe de CERT-UA (Equipo de respuesta a emergencias informáticas de Ucrania).

Cadena de infección

Según sus hallazgos, los ciberdelincuentes responsables de los ataques de Somnia pertenecen a lo que se cree que es un grupo hacktivista prorruso llamado From Russia with Love (FRwL), también rastreado como Z-Team y UAC-0118. Los actores de la amenaza utilizaron la herramienta ransomware para afectar el funcionamiento de los sistemas automatizados, así como las máquinas informáticas electrónicas que pertenecen al objetivo violado.

Los expertos en seguridad informática advierten que FRwL utiliza una cadena de infección de varias capas que involucra varias herramientas amenazantes diferentes. Se confirma que el vector de compromiso inicial es la descarga y ejecución de un instalador armado disfrazado de software de "escáner de IP avanzado". El archivo falso se distribuye a través de sitios web dedicados que imitan portales web legítimos. Los empleados de la organización objetivo que caigan en la trampa activarán e instalarán la amenaza Vidar Stealer en sus computadoras.

Luego, los actores de amenazas usan Vidar para obtener los datos de la sesión de Telegram de la víctima y, posteriormente, tomar el control de sus cuentas. Los atacantes aprovechan las cuentas comprometidas de una manera que les permitirá recopilar datos de conexión VPN. Si la VPN carece de suficiente 2FA (autenticación de dos factores), los piratas informáticos de FRwL obtendrían acceso no autorizado a la red corporativa de la organización. Posteriormente, los ciberdelincuentes establecen una baliza Cobalt Strike y proceden a filtrar datos confidenciales o realizar actividades de vigilancia adicionales.

Los detalles del ransomware Somnia

La amenaza Somnia Ransomware puede afectar una gran cantidad de tipos de archivos diferentes y cifrarlos mediante un algoritmo criptográfico. Cada archivo bloqueado tendrá '.somnia' añadido a su nombre original. Si bien la mayoría de las operaciones de ransomware tienen una motivación financiera, este no es el caso de Somnia. Los atacantes usan su herramienta amenazante más como un limpiador de datos que evitará que la víctima acceda a sus datos. Los atacantes no solicitan que se les pague un rescate, ya que ese no es su objetivo principal.

Los investigadores del CERT-UA señalan que Somnia parece estar todavía en desarrollo activo. Por ejemplo, las versiones anteriores de la amenaza estaban equipadas y se basaban en el algoritmo 3DES simétrico. Sin embargo, las iteraciones posteriores se cambiaron para ejecutar el algoritmo AES para el cifrado de los tipos de archivos específicos.