Пророссийские хакеры осуществляют шифрование систем и вызывают перебои функционировании множества украинских предприятий и фирм, применяя для этого новую версию программы-вымогателя Somnia.
В профильном ведомстве CERT-UA (Группа быстро реагирования на компьютерные инциденты Украины) заявили, что подобные инциденты информационной безопасности в стране действительно происходят, причём ответственность за кибератаки такого рода лежит на хакерской группе From Russia with Love (FRwL). Как известно, её также отслеживают по международному идентификатору UAC-0118.
При этом отмечается, что в этот раз обвинения в киберпреступлениях со стороны украинских властей не являются беспочвенными, потому что хакеры уже самостоятельно заявляли о разработке соответствующего вредоносного программного обеспечения Somnia в своем Telegram-канале. Кроме того, представители группировки FRwL размещали доказательства проведения успешных кибератак против нескольких украинских компаний, в частности против предприятий, которые специализируются на изготовлении танков и другой военной продукции.
Расследование, которое было проведено украинским ведомством, показало, что кибератака начинается, что с того, что введённый в заблуждение пользователь скачивает и запускает файл, который выдает себя за легальное программное обеспечение под названием Advanced IP Scanner. В действительности загружаемый файл имеет в себе инфостилер Vidar. Этот вредоносный софт похищает данные Telegram-сессии, что при отсутствии многофакторной аутентификации и pass-кода позволяет хакерам получить полный доступ к учетной записи жертвы.
Украинские специалисты по информационной безопасности установили, что учетная запись в Telegram используется «русскими хакерами» из группировки FRwL для кражи информации о VPN-подключении (аутентификационные данные, сертификаты и так далее). За счет получения дистанционного доступа к компьютерной сети конкретной организации с использованием VPN киберпреступники с помощью решения NetScan осуществляют разведку, запускают маячок Cobalt Strike и похищают конфиденциальную информацию с использованием Rclone. Помимо этого, эксперты обнаружили признаки запуска Anydesk и Ngrok.
Также отмечается, что программа-вымогатель Somnia уже была существенно улучшена. В частности, если в первой версии шифровальщика применялся симметричный алгоритм 3DES, то сейчас уже применяется алгоритм AES. В CERT-UA рассказали, что новая версия этой программы-вымогателя не предусматривает последующую расшифровку данных.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
