หน่วยงานทางด้านความปลอดภัยทางไซเบอร์ของยูเครน (CERT-UA) ประกาศแจ้งเตือนการแพร่กระจายของแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า Somnia โดยระบุว่าเป็นปฏิบัติการภายใต้ชื่อว่า 'From Russia with Love' (FRwL) โดยกลุ่ม Z-Team หรืออีกชื่อหนึ่งคือ UAC-0118 โดยการฝังมัลแวร์ไว้บนเว็บไซต์ปลอมเพื่อใช้สำหรับขโมยข้อมูล และเพื่อขัดขวางการทำงานขององค์กรต่าง ๆ ในยูเครน

โดยกลุ่มแฮ็กเกอร์ได้ใช้เว็บไซต์ปลอมที่เลียนแบบซอฟต์แวร์ "Advanced IP Scanner" เพื่อหลอกให้พนักงานขององค์กรต่าง ๆ ในยูเครนให้ดาวน์โหลดโปรแกรมมาติดตั้ง ซึ่งจริง ๆ แล้วโปรแกรมดังกล่าวคือมัลแวร์ Vidar stealer ซึ่งจะถูกใช้เพื่อขโมย Telegram session เพื่อเข้าควบคุมบัญชี Telegram ของเหยื่อ

โดย **CERT-UA ระบุว่าแฮ็กเกอร์จะใช้บัญชี Telegram ของเหยื่อเพื่อขโมยข้อมูลการเชื่อมต่อ VPN (authentication และ certificates) โดยถ้าบัญชี VPN ไม่ได้มีการเปิดใช้งาน multi-factor authentication แฮ็กเกอร์จะใช้บัญชีดังกล่าวเพื่อเข้าถึงเครือข่ายขององค์กรของเหยื่อ

จากนั้นแฮ็กเกอร์จะติดตั้ง Cobalt Strike beacon, Netscan, Rclone, Anydesk, และ Ngrok เพื่อปฏิบัติการรูปแบบอื่นๆ บนเครือข่ายของเหยื่อต่อไป

CERT-UA ระบุว่าตั้งแต่ฤดูใบไม้ผลิปี 2022 เป็นต้นมา ปฏิบัติการ FRwL ได้ทำการโจมตีคอมพิวเตอร์ขององค์กรยูเครนไปแล้วหลายครั้ง โดยประเภทไฟล์ที่เป็นเป้าหมายในการโจมตีของ Somnia ประกอบไปด้วย ไฟล์เอกสาร, รูปภาพ, ฐานข้อมูล, ไฟล์วิดีโอ และอื่น ๆ

โดย Somnia จะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .somnia แต่จะไม่มีการเรียกเงินค่าไถ่จากเหยื่อในกรณีที่เหยื่อต้องการจ่ายเงินสำหรับตัวถอดรหัสของไฟล์ที่ถูกเข้ารหัสไว้ เนื่องจากเป้าหมายของ Somnia คือการขัดขวางกระบวนการทำงานของเป้าหมายมากกว่าที่จะเป็นการสร้างรายได้จากการโจมตี ดังนั้นมัลแวร์ดังกล่าวน่าจะถูกสร้างมาเพื่อทำลายล้างมากกว่าการเรียกค่าไถ่แบบเดียวกับแรนซัมแวร์อื่นๆ

แนวทางการป้องกัน

ตรวจสอบแหล่งที่มาของไฟล์ก่อนดาวน์โหลด
เปิดใช้งาน Multi-Factor Authentication

ที่มา : bleepingcomputer