ロシアのハクティビストは、ウクライナの複数の組織を「ソムニア」と呼ばれる新しいランサムウェア株に感染させ、システムを暗号化し、システムを停止させていることが判明しました。

ウクライナのコンピューター緊急対応チーム (CERT-UA) は、そのポータルでの発表を介して発生を確認し、攻撃は「Z チーム」としても知られる「ロシアより愛をこめて」(FRwL) によるものであり、彼らは次のように追跡しています。

このグループは以前、Telegram で Somnia ランサムウェアを作成したことを明らかにし、ウクライナの戦車メーカーに対する攻撃の証拠を投稿しました。

Telegram での Somnia ランサムウェアに関する FRwL の投稿
Telegram での Somnia に関する FRwL の投稿

しかし、今日まで、ウクライナはハッキング グループによる暗号化攻撃の成功を確認していません。

FRwL 攻撃の詳細

CERT-UA によると、ハッキング グループは「Advanced IP Scanner」ソフトウェアを模倣した偽のサイトを使用して、ウクライナの組織の従業員をだましてインストーラーをダウンロードさせます。

Vidar Stealer をドロップするために使用された偽の Web サイト
Vidar Stealer (CERT-UA)をドロップするために使用される偽の Web サイト

実際には、インストーラーは Vidar スティーラーでシステムを感染させ、被害者の Telegram セッション データを盗んでアカウントを制御します。

次に CERT-UA は、攻撃者が特定されていない方法で被害者の Telegram アカウントを悪用し、VPN 接続データ (認証と証明書) を盗んだと述べています。

VPN アカウントが 2 要素認証で保護されていない場合、ハッカーはそれを使用して、被害者の雇用主の企業ネットワークへの不正アクセスを取得します。

次に、侵入者は Cobalt Strike ビーコンを展開し、データを盗み出し、Netscan、Rclone、Anydesk、および Ngrok を使用して、さまざまな監視およびリモート アクセス アクティビティを実行します。

CERT-UA は、2022 年の春以降、初期アクセス ブローカーの助けを借りて、FRwL がウクライナの組織に属するコンピューターに対していくつかの攻撃を実行したと報告しています。

同機関はまた、これらの攻撃で使用された Somnia ランサムウェア株の最新のサンプルは AES アルゴリズムに依存しているのに対し、Somnia は最初は対称 3DES を使用していたことにも言及しています。

ドキュメント、画像、データベース、アーカイブ、ビデオ ファイルなど、Somnia ランサムウェアの標的となるファイル タイプ (拡張子) を以下に示します。

Somnia ランサムウェア(CERT-UA)によって暗号化されたファイルの種類

ランサムウェアは、ファイルを暗号化するときに、暗号化されたファイルの名前に.somnia拡張子を追加します。

Somniaは、収益を生み出すことよりもターゲットの操作を混乱させることに関心があるため、被害者に、機能する復号化プログラムと引き換えに身代金を要求することはありません。

したがって、このマルウェアは、従来のランサムウェア攻撃ではなく、データ ワイパーと見なす必要があります。