В ходе последней волны атак российских хакеров несколько организаций в Украине были заражены новой разновидностью ransomware, получившей название Somnia.

Новая программа-вымогатель шифрует системы, пытаясь вывести их из строя. В отличие от других видов вымогательского ПО, Somnia не содержит уведомления о выкупе.

Специалисты из Группы реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) подтвердили факт атаки хакерской группы “Из России с любовью” (FRwL) в официальном заявлении о подтверждении вредоносной кампании.

Эта киберпреступная группа, также известная как Z-Team и отслеживаемая как UAC-0118, заявила о предыдущих атаках на украинских производителей танков и объявила себя создателями программы Somnia в Telegram группе.

Расследование, проведенное CERT-UA, показало, что злоумышленники распространяли вредоносное ПО с помощью фейковых веб-сайтов, маскирующихся под программное обеспечение “Advanced IP Scanner”. На этих сайтах размещалась вредоносная программа установки, маскирующая известный программный код Vidar.

После установки Vidar перехватывал Telegram сеанс жертвы, в результате чего злоумышленники похищали файлы конфигурации VPN, включая данные аутентификации и сертификаты со взломанных устройств. Отсутствие многофакторной аутентификации (MFA) при установлении VPN-соединения давало злоумышленникам несанкционированный доступ к сетям организаций.

Оказавшись в системе, злоумышленники провели разведку сети, установили маяки Cobalt Strike, эксфильтровали данные и распространили программу Somnia. Вредоносная программа нацелена на широкий спектр типов файлов, включая базы данных, архивы, фотографии, видео и документы, и добавляет расширение “.somnia” после их шифрования.

Согласно данным CERT-UA, Somnia получила некоторые изменения: она перешла с симметричного алгоритма 3DES на AES. Кроме того, в отличие от первой версии, в недавно обнаруженной версии ransomware отсутствует функция расшифровки, что дает исследователям основания полагать, что злоумышленники больше заинтересованы в нанесении ущерба бизнесу, чем в вымогательстве денег у своих жертв.

Специальное ПО для обеспечения безопасности, такое как Bitdefender Ultimate Security, может защитить от ransomware и других киберугроз благодаря таким функциям, как:

  • Всесторонняя непрерывная защита от вирусов, троянских программ, программ-выкупов, шпионских программ, руткитов, эксплойтов нулевого дня, червей и других электронных угроз.
  • Многоуровневая защита от вымогательского ПО, защищающая документы от всех типов атак вымогательского ПО.
  • Модуль предотвращения сетевых угроз, выявляющий и отражающий подозрительные действия на уровне сети.
  • Расширенная защита от угроз, которая отслеживает активные приложения и мгновенно реагирует на подозрительную активность.

Источник: Bitdefender

В случае возникновения дополнительных вопросов, пожалуйста, обращайтесь по электронному адресу sales@softico.ua или по телефону +380 (44) 383 4410.