Nuovo Somnia Ransomware utilizzato contro obiettivi ucraini

Il CERT ucraino ha avvertito di una nuova famiglia di ransomware implementata da attori di minacce russe e utilizzata per prendere di mira entità con sede in Ucraina. La nuova famiglia di ransomware si chiama Somnia e gli esperti ritengono che sia collegata a un gruppo di "hacktivist" chiamato From Russia with Love, noto anche con lo pseudonimo UAC-0018.

Almeno un attacco ha coinvolto un campione del malware Vidar stealer distribuito come falsa copia dannosa di un'applicazione chiamata Advanced IP Scanner.

L'entità che gestiva Vidar sulla rete della vittima ha "trasferito" i dati rubati durante la violazione agli hacktivist dell'UAC-0018 e li hanno usati per implementare Somnia sui sistemi della vittima.

Vidar è stato utilizzato per compromettere l'account Telegram della vittima e rubare le informazioni di accesso alla VPN per gli account che non avevano l'autenticazione a più fattori abilitata.

Anche se Somnia è classificata come variante ransomware e famiglia, gli hacker che lavorano con From Russia with Love non hanno chiesto alcun riscatto. In questo senso, Somnia è più uno strumento distruttivo volto a interrompere le operazioni delle vittime e a rendere inutilizzabili i loro sistemi e non è un ransomware nel senso tradizionale della parola, in cui sono coinvolti estorsioni e una sorta di pagamento.

Il rapporto su Somnia afferma che anche gli autori del malware non hanno nemmeno le capacità per decrittografare i file, rendendolo uno strumento distruttivo.