Somnia: il ransomware utilizzato dagli hacktivisti russi contro l’Ucraina inizia a farsi sentire

Redazione RHC : 24 Novembre 2022 08:00

Gli hacktivisti russi hanno crittografato i sistemi e causato interruzioni a diverse organizzazioni ucraine utilizzando una nuova versione del ransomware Somnia. CERT-UA ha confermato l’incidente e ha accusato From Russia with Love (FRwL), noto anche come Z-Team, tracciato da UAC-0118.

Vale la pena notare che le accuse non sono infondate: gli hacktivisti hanno annunciato la creazione di Somnia nel loro canale Telegram e hanno persino pubblicato prove di attacchi a un’organizzazione ucraina impegnata nella produzione di carri armati.

Un’indagine condotta da CERT-UA ha mostrato che l’attacco è iniziato con il download e l’esecuzione da parte della vittima di un file che si spacciava per un software chiamato “Scanner IP avanzato”, che in realtà conteneva l’infostealer Vidar. 

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questo malware ruba i dati della sessione di Telegram che, in assenza dell’autenticazione a due fattori e di un passcode, consente agli aggressori di accedere all’account della vittima.

Come è stato stabilito, l’account Telegram era necessario agli hacker per rubare i dati di connessione VPN (inclusi certificati e dati di autenticazione). Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione tramite una VPN, gli aggressori hanno condotto una ricognizione (usando Netscan), lanciato un beacon Cobalt Strike e rubando dati preziosi usando Rclone. Inoltre, ci sono segnali del lancio di Anydesk e Ngrok.

Gli specialisti hanno notato che Somnia è stato modificato. 

Se nella prima versione del programma è stato utilizzato l’algoritmo 3DES simmetrico, nella seconda versione viene implementato l’algoritmo AES. E dato il dinamismo della chiave e del vettore di inizializzazione, CERT-UA presume che questa versione del malware non fornisca la decrittazione dei dati.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli