Somnia: il ransomware utilizzato dagli hacktivisti russi contro l’Ucraina inizia a farsi sentire

Redazione RHC : 24 Novembre 2022 08:00

Gli hacktivisti russi hanno crittografato i sistemi e causato interruzioni a diverse organizzazioni ucraine utilizzando una nuova versione del ransomware Somnia. CERT-UA ha confermato l’incidente e ha accusato From Russia with Love (FRwL), noto anche come Z-Team, tracciato da UAC-0118.

Vale la pena notare che le accuse non sono infondate: gli hacktivisti hanno annunciato la creazione di Somnia nel loro canale Telegram e hanno persino pubblicato prove di attacchi a un’organizzazione ucraina impegnata nella produzione di carri armati.

Un’indagine condotta da CERT-UA ha mostrato che l’attacco è iniziato con il download e l’esecuzione da parte della vittima di un file che si spacciava per un software chiamato “Scanner IP avanzato”, che in realtà conteneva l’infostealer Vidar. 

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questo malware ruba i dati della sessione di Telegram che, in assenza dell’autenticazione a due fattori e di un passcode, consente agli aggressori di accedere all’account della vittima.

Come è stato stabilito, l’account Telegram era necessario agli hacker per rubare i dati di connessione VPN (inclusi certificati e dati di autenticazione). Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione tramite una VPN, gli aggressori hanno condotto una ricognizione (usando Netscan), lanciato un beacon Cobalt Strike e rubando dati preziosi usando Rclone. Inoltre, ci sono segnali del lancio di Anydesk e Ngrok.

Gli specialisti hanno notato che Somnia è stato modificato. 

Se nella prima versione del programma è stato utilizzato l’algoritmo 3DES simmetrico, nella seconda versione viene implementato l’algoritmo AES. E dato il dinamismo della chiave e del vettore di inizializzazione, CERT-UA presume che questa versione del malware non fornisca la decrittazione dei dati.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.