Gli hacktivisti russi hanno crittografato i sistemi e causato interruzioni a diverse organizzazioni ucraine utilizzando una nuova versione del ransomware Somnia. CERT-UA ha confermato l’incidente e ha accusato From Russia with Love (FRwL), noto anche come Z-Team, tracciato da UAC-0118.
Vale la pena notare che le accuse non sono infondate: gli hacktivisti hanno annunciato la creazione di Somnia nel loro canale Telegram e hanno persino pubblicato prove di attacchi a un’organizzazione ucraina impegnata nella produzione di carri armati.
Pubblica sul canale FRwL Telegram.
Un’indagine condotta da CERT-UA ha mostrato che l’attacco è iniziato con il download e l’esecuzione da parte della vittima di un file che si spacciava per un software chiamato “Scanner IP avanzato”, che in realtà conteneva l’infostealer Vidar.
Questo malware ruba i dati della sessione di Telegram che, in assenza dell’autenticazione a due fattori e di un passcode, consente agli aggressori di accedere all’account della vittima.
Come è stato stabilito, l’account Telegram era necessario agli hacker per rubare i dati di connessione VPN (inclusi certificati e dati di autenticazione). Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione tramite una VPN, gli aggressori hanno condotto una ricognizione (usando Netscan), lanciato un beacon Cobalt Strike e rubando dati preziosi usando Rclone. Inoltre, ci sono segnali del lancio di Anydesk e Ngrok.
Gli specialisti hanno notato che Somnia è stato modificato.
Se nella prima versione del programma è stato utilizzato l’algoritmo 3DES simmetrico, nella seconda versione viene implementato l’algoritmo AES. E dato il dinamismo della chiave e del vettore di inizializzazione, CERT-UA presume che questa versione del malware non fornisca la decrittazione dei dati.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.
Aree di competenza:Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
C’è questa idea sbagliata, un po’ romantica volendo, per cui il ransomware è “roba da IT”: qualche server in crisi, due notti in bianco, poi si riparte e fine… La realtà, soprattutto per un’azienda quotata…
Nel precedente contributo abbiamo esplorato come la posizione di garanzia del professionista della cybersecurity si scontri con fattispecie classiche come l’accesso abusivo. Tuttavia, nella mia esperienza professionale e accademica, riscontro spesso una zona d’ombra ancora…
Ancora una volta Microsoft si è vista obbligata ad effettuare una rapida correzione di alcune falle. L’azienda ha rilasciato patch non programmate per Microsoft Office, risolvendo una pericolosa vulnerabilità zero-day già sfruttata in attacchi informatici.…
La recente scoperta di una vulnerabilità nella piattaforma AI di ServiceNow ha scosso profondamente il settore della sicurezza informatica. Questa falla, caratterizzata da un punteggio di gravità estremamente elevato, ha permesso ad aggressori non autenticati…
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…
.png)
