Varias organizaciones en Ucrania han sido infectadas con una nueva variedad de ransomware, denominada Somnia, en una ola reciente de ataques por parte de hacktivistas rusos.

 

El nuevo ransomware cifra los sistemas e intenta hacer que sus objetivos dejen de funcionar. A diferencia de otras infecciones de ransomware, Somnia no incluye una nota de rescate, ya que sus desarrolladores supuestamente deshabilitaron su función de descifrado.

 

Investigadores del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyeron los ataques al grupo de piratería “Desde Rusia con amor” (FRwL) en un anuncio que reconoce la campaña maliciosa.

 

El equipo de ciberdelincuencia, también conocido como Z-Team y rastreado como UAC-0118, reivindicó ataques anteriores contra productores de tanques ucranianos y se reveló como los creadores del ransomware Somnia en un grupo de Telegram.

 

La investigación de CERT-UA reveló que los perpetradores difundieron el malware utilizando sitios web falsos disfrazados de software "Advanced IP Scanner". Los sitios web maliciosos albergaban un instalador malicioso que ocultaba al infame ladrón de Vidar.

 

Una vez instalado, Vidar secuestraría la sesión de Telegram de las víctimas, lo que permitiría a los actores de amenazas robar los archivos de configuración de VPN, incluidos los datos de autenticación y los certificados de los dispositivos comprometidos. La falta de autenticación multifactor (MFA) al establecer una conexión VPN otorgó a los atacantes acceso no autorizado a las redes de las organizaciones.

 

Una vez dentro, los perpetradores realizaron un reconocimiento de la red, desplegaron balizas Cobalt Strike, exfiltraron datos y propagaron el ransomware Somnia. El malware se dirige a una amplia gama de tipos de archivos, incluidas bases de datos, archivos, fotos, videos y documentos, y agrega la extensión ".somnia" después de cifrarlos.

 

Según el anuncio de CERT-UA, Somnia ha sufrido algunos cambios, dado que pasó del algoritmo 3DES simétrico a AES. Además, a diferencia de su primera iteración, la versión detectada recientemente del ransomware carece de una función de descifrado, lo que lleva a los investigadores a creer que los atacantes están más interesados ​​en dañar las operaciones que en extorsionar a sus víctimas.

 

---

 

El software de seguridad dedicado como Bitdefender Total Security puede mantenerlo a salvo del ransomware y otras ciberamenazas, con características como:

 

- Protección completa y continua contra virus, troyanos, ransomware, spyware, rootkits, exploits de día cero, gusanos y otras amenazas electrónicas

- Protección contra ransomware multicapa que protege sus documentos de todo tipo de ataques de ransomware

- Módulo de prevención de amenazas de red que identifica y repele actividades sospechosas a nivel de red

- Defensa avanzada contra amenazas que supervisa las aplicaciones activas y toma medidas instantáneas al identificar actividades sospechosas