Ny Somnia Ransomware brukt mot ukrainske mål

Ukrainske CERT advarte om en ny familie med løsepengevare utplassert av russiske trusselaktører og brukt til å målrette mot enheter lokalisert i Ukraina. Den nye løsepengevarefamilien heter Somnia og eksperter mener den er knyttet til en «hacktivist»-gruppe kalt From Russia with Love, også kjent under aliaset UAC-0018.

Minst ett angrep involverte et utvalg av Vidar-tyverens skadevare som ble distribuert som en ondsinnet falsk kopi av en applikasjon kalt Advanced IP Scanner.

Enheten som drev Vidar på offerets nettverk "overførte" dataene som ble stjålet i bruddet til hacktivistene ved UAC-0018, og de brukte dem til å distribuere Somnia på offerets systemer.

Vidar ble brukt til å kompromittere offerets Telegram-konto og stjele VPN-påloggingsinformasjon for kontoer som ikke hadde multifaktorautentisering aktivert.

Selv om Somnia er klassifisert som en løsepengevariant og familie, ba ikke hackerne som jobbet med From Russia with Love om løsepenger. I den forstand er Somnia mer et destruktivt verktøy rettet mot å forstyrre offeroperasjoner og gjøre systemene deres ubrukelige, og er ikke løsepengevare i tradisjonell forstand av ordet, der utpressing og en slags betaling er involvert.

Rapporten om Somnia sier at selv forfatterne av skadelig programvare ikke engang har evnen til å dekryptere filer, noe som gjør det til et destruktivt verktøy.