Gli hacktivisti russi hanno crittografato i sistemi e causato interruzioni a diverse organizzazioni ucraine utilizzando una nuova versione del ransomware Somnia. CERT-UA ha confermato l’incidente e ha accusato From Russia with Love (FRwL), noto anche come Z-Team, tracciato da UAC-0118.
Vale la pena notare che le accuse non sono infondate: gli hacktivisti hanno annunciato la creazione di Somnia nel loro canale Telegram e hanno persino pubblicato prove di attacchi a un’organizzazione ucraina impegnata nella produzione di carri armati.
Pubblica sul canale FRwL Telegram.
Un’indagine condotta da CERT-UA ha mostrato che l’attacco è iniziato con il download e l’esecuzione da parte della vittima di un file che si spacciava per un software chiamato “Scanner IP avanzato”, che in realtà conteneva l’infostealer Vidar.
Questo malware ruba i dati della sessione di Telegram che, in assenza dell’autenticazione a due fattori e di un passcode, consente agli aggressori di accedere all’account della vittima.
Come è stato stabilito, l’account Telegram era necessario agli hacker per rubare i dati di connessione VPN (inclusi certificati e dati di autenticazione). Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione tramite una VPN, gli aggressori hanno condotto una ricognizione (usando Netscan), lanciato un beacon Cobalt Strike e rubando dati preziosi usando Rclone. Inoltre, ci sono segnali del lancio di Anydesk e Ngrok.
Gli specialisti hanno notato che Somnia è stato modificato.
Se nella prima versione del programma è stato utilizzato l’algoritmo 3DES simmetrico, nella seconda versione viene implementato l’algoritmo AES. E dato il dinamismo della chiave e del vettore di inizializzazione, CERT-UA presume che questa versione del malware non fornisca la decrittazione dei dati.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.
Aree di competenza:Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…
Un recente leak ha rivelato 149 milioni di login e password esposti online, tra cui account di servizi finanziari, social, gaming e siti di incontri. La scoperta è stata fatta dal ricercatore Jeremiah Fowler e…
PixelCode nasce come progetto di ricerca che esplora una tecnica nascosta per archiviare dati binari all’interno di immagini o video. Invece di lasciare un eseguibile in chiaro, il file viene convertito in dati pixel, trasformando…
Di recente, i ricercatori di sicurezza hanno osservato un’evoluzione preoccupante nelle tattiche offensive attribuite ad attori collegati alla Corea del Nord nell’ambito della campagna nota come Contagious Interview: non più semplici truffe di fake job…
Microsoft si appresta a introdurre un aggiornamento che trasforma una piccola abitudine manuale in un automatismo di sistema. Presto, Microsoft Teams sarà in grado di dedurre e mostrare la posizione fisica di un utente analizzando…
.png)
