Ny Somnia Ransomware brugt mod ukrainske mål

Den ukrainske CERT advarede om en ny familie af ransomware, der blev implementeret af russiske trusselsaktører og brugt til at målrette enheder i Ukraine. Den nye ransomware-familie hedder Somnia, og eksperter mener, at den er forbundet med en "hacktivist"-gruppe kaldet From Russia with Love, også kendt under aliaset UAC-0018.

Mindst ét angreb involverede en prøve af Vidar-tyverens malware, der blev distribueret som en ondsindet falsk kopi af et program kaldet Advanced IP Scanner.

Enheden, der kørte Vidar på ofrets netværk, "overførte" de data, der blev stjålet i bruddet, til hacktivisterne på UAC-0018, og de brugte dem til at installere Somnia på ofrets systemer.

Vidar blev brugt til at kompromittere ofrets Telegram-konto og stjæle VPN-loginoplysninger for konti, der ikke havde multi-faktor-autentificering aktiveret.

Selvom Somnia er klassificeret som en ransomware-variant og familie, har hackerne, der arbejder med From Russia with Love, ikke bedt om nogen løsesum. I den forstand er Somnia mere et destruktivt værktøj, der har til formål at forstyrre ofrets operationer og gøre deres systemer ubrugelige og er ikke ransomware i ordets traditionelle betydning, hvor afpresning og en form for betaling er involveret.

Rapporten om Somnia fastslår, at selv forfatterne af malwaren ikke engang har evnerne til at dekryptere filer, hvilket gør det til et destruktivt værktøj.