Denominada como Somnia, en una ola de ataques por parte de hacktivistas rusos. Este ransomware usó sitios falsos que imitan el software 'Advanced IP Scanner', que, si se descarga, infecta la computadora de la víctima con el malware de robo de datos Vidar que puede capturar los datos de la sesión de Telegram, así como tomar el control la cuenta de la víctima.
Una vez instalado, Vidar secuestraría la sesión de Telegram de las víctimas, lo que permitiría a los actores de amenazas robar los archivos de configuración de VPN, incluidos los datos de autenticación y los certificados de los dispositivos comprometidos. La falta de autenticación multifactor (MFA) al establecer una conexión VPN otorgó a los atacantes acceso no autorizado a las redes de las organizaciones.
Una vez dentro, los perpetradores realizaron un reconocimiento de la red, desplegaron balizas Cobalt Strike, exfiltraron datos y propagaron el ransomware Somnia. El malware se dirige a una amplia gama de tipos de archivos, incluidas bases de datos, archivos, fotos, videos y documentos, y agrega la extensión ".somnia" después de cifrarlos.
Según el anuncio de CERT-UA, Somnia ha sufrido algunos cambios, dado que pasó del algoritmo 3DES simétrico a AES. Además, a diferencia de su primera iteración, la versión detectada recientemente del ransomware carece de una función de descifrado, lo que lleva a los investigadores a creer que los atacantes están más interesados en dañar las operaciones que en extorsionar a sus víctimas y no podemos saber si seguiran habiendo cambios por lo que debemos estar atentos a los cambios que pueda sufrir esta amenaza.
