En av Ukrainas cybersäkerhetsorgan har rapporterat att Ryssland använder en ny typ av Ransomware-stam, kallad “Somnia”, för att attackera deras system och skapa driftstopp.
Tekniken bygger på att offerorganisationer inte har tvåfaktorsautentisering aktiverad på sina företags VPN konton, som sedan används för att få tillgång till deras bredare nätverk.
Ovanligt är ransomware utformad för att störa viktiga ukrainska organisationer, snarare än att hålla data som gisslan för ett pris. Men när kriget väl avtagit, vem vet vart hackande grupper – med sådana här vapen – kommer att rikta sin uppmärksamhet.
Somnia slår till
National Computer Emergency Response Team for Ukraine (CERT-UA) har nu rapporterat flera attacker som involverar Somnia ransomware.
Z-Team, den ryskassocierade hackargruppen som tros vara ansvarig för spridningen av stammen, har detaljerat hur de använde ransomware till ukrainska tillverkare av attacktankar på den krypterade meddelandeappen Telegram (där de går under en alternativ moniker, “Från Ryssland med kärlek” (FRwL)).
Attacken är den senaste utvecklingen i cyberkriget som har rasat vid sidan av dess mark- och luftinvasion av ukrainskt territorium, som började i februari 2022.
Hur fungerar Somnia?
Hackargruppen har hånat falska sajter som utger sig för att tillhandahålla freenedladdningsbara IP-skannrar, men istället laddar skadliga program på intet ont anande offers enheter.
Detta används för att subsumera kontrolltelegramkonton, som i sin tur används för att få VPN-åtkomst (såvida inte användarens konto är skyddat av tvåfaktorsautentisering) och därefter hela nätverket de arbetar på.
En Cobalt Strike beacon senare, och exfiltreringen av data och fjärråtkomst till nätverket börjar.
Dessa attacker har pågått sedan våren i år, men Somnias attacker har förändrats från att förlita sig på det symmetriska 3DES-nyckelblocket, medan de nu förlitar sig på Advanced Encryption Standard (AES).
Cyberattacker blir bara värre
Att se nya stammar av ransomware rullas ut under perioder av krigföring borde skicka en skarp varning till företag om den snabba utvecklingen och ständigt närvarande av cyberhot.
Dataintrång är en nästan daglig företeelse nu, och ransomware-attacker är ofta ekonomiskt ödesdigra för företag, särskilt småföretag, som är den demografiska risken när det kommer till cyberattacker.
Som med många attacker förlitar de sig på mänskliga fel i nuet (att misstag en falsk webbplats för en riktig) och mänskliga fel i det förflutna (inte aktivera tvåfaktorsautentisering på en företags VPN konto).
Det är därför det är så viktigt att utbilda personal för att upptäcka de berättande tecknen på cyberattacker, samtidigt som man kontinuerligt förstärker vikten av multifaktorautentisering och använder starka, unika lösenord.
