Cyberthreat.id – Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengungkapkan bahwa peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan menggunakan ransomware Somnia, yang mengenkripsi sistem dan menyebabkan masalah operasional.

Dikutip dari Bleeping Computer, dalam pengumuman resminya, CERT-UA menghubungkan serangan tersebut dengan grup peretas asal Rusia bernama “From Russia with Love” (FRwL), yang juga dikenal sebagai 'Z-Team,' yang mereka lacak sebagai UAC-0118. Kelompok ini diketahui telah mengungkapkan pembuatan ransomware Somnia di Telegram dan bahkan memposting bukti serangan terhadap produsen tank di Ukraina.

“Namun, hingga hari ini, Ukraina belum mengonfirmasi serangan enkripsi yang berhasil dilakukan oleh grup peretasan,” kata CERT-UA dalam laporan tersebut.

CERT-UA mengatakan, grup peretasan itu menggunakan situs palsu yang meniru aplikasi “Advanced IP Scanner” untuk mengelabuhi karyawan dari sejumlah organisasi di Ukraina agar mengunduh penginstal. Pada kenyataannya, penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali atas akun mereka.

Selanjutnya, pelaku ancaman akan menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat). Jika akun VPN tidak dilindungi oleh autentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan tempat kerja korban.

“penyusup menyebarkan suar Cobalt Strike, mengekstraksi data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh,” kata CERT-UA.

CERT-UA melaporkan bahwa sejak musim semi tahun 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina. Badan tersebut juga mencatat bahwa sampel terbaru dari jenis ransomware Somnia yang digunakan dalam serangan ini bergantung pada algoritme AES, sedangkan Somnia awalnya menggunakan 3DES simetris.

Sementara itu, jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia seperti dokumen, gambar, database, arsip, file video, dan lainnya. Hal ini tentu menggambarkan tingkat keparahan yang akan ditimbulkan oleh serangan ini.

CERT-UA mengatakan, ransomware akan menambahkan ekstensi .somnia ke nama file terenkripsi saat mengenkripsi file. Namun, Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.

“Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional,” kata lembaga tersebut.