Peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan jenis ransomware baru yang disebut ‘Somnia’, yang mengenkripsi sistem mereka dan menyebabkan masalah operasional.
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) memiliki dikonfirmasi wabah melalui pengumuman di portalnya, menghubungkan serangan dengan ‘From Russia with Love’ (FRwL), juga dikenal sebagai ‘Z-Team,’ yang mereka lacak sebagai UAC-0118.
Grup tersebut sebelumnya mengungkapkan pembuatan ransomware Somnia di Telegram dan bahkan memposting bukti serangan terhadap produsen tank di Ukraina.
Anda(Komputer Berkedip)
Namun, hingga hari ini, Ukraina belum mengonfirmasi serangan enkripsi yang berhasil dilakukan oleh grup peretasan.
Detail serangan FRwL
Menurut CERT-UA, kelompok peretas menggunakan situs palsu yang meniru perangkat lunak ‘Advanced IP Scanner’ untuk mengelabui karyawan organisasi Ukraina agar mengunduh penginstal.
.png)
Pada kenyataannya, penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali atas akun mereka.
Selanjutnya, CERT-UA mengatakan bahwa pelaku ancaman menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat).
Jika akun VPN tidak dilindungi oleh otentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan majikan korban.
Selanjutnya, penyusup menyebarkan suar Cobalt Strike, mengekstraksi data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh.
CERT-UA melaporkan bahwa sejak musim semi tahun 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina.
Badan tersebut juga mencatat bahwa sampel terbaru dari jenis ransomware Somnia yang digunakan dalam serangan ini bergantung pada algoritme AES, sedangkan Somnia awalnya menggunakan 3DES simetris.
Jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia ditunjukkan di bawah ini, termasuk dokumen, gambar, database, arsip, file video, dan lainnya, yang mencerminkan kehancuran yang ingin ditimbulkan oleh ketegangan ini.
.png)
Ransomware akan menambahkan .somnia ekstensi ke nama file yang dienkripsi saat mengenkripsi file.
Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.
Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional.
