Nieuwe Somnia-ransomware gebruikt tegen Oekraïense doelen

Oekraïense CERT waarschuwde voor een nieuwe familie van ransomware die is ingezet door Russische dreigingsactoren en wordt gebruikt om entiteiten in Oekraïne aan te vallen. De nieuwe ransomware-familie heet Somnia en experts denken dat het verband houdt met een "hacktivistische" groep genaamd From Russia with Love, ook bekend onder de alias UAC-0018.

Ten minste één aanval betrof een voorbeeld van de Vidar-stealer-malware die werd verspreid als een kwaadaardige valse kopie van een toepassing met de naam Advanced IP Scanner.

De entiteit die Vidar op het netwerk van het slachtoffer runde, heeft de tijdens de inbreuk gestolen gegevens "overgedragen" aan de hacktivisten van UAC-0018 en zij gebruikten het om Somnia op de systemen van het slachtoffer te implementeren.

Vidar werd gebruikt om het Telegram-account van het slachtoffer te compromitteren en VPN-inloggegevens te stelen voor accounts waarvoor multi-factor authenticatie niet was ingeschakeld.

Hoewel Somnia is geclassificeerd als een ransomware-variant en familie, hebben de hackers die met From Russia with Love werkten, geen losgeld gevraagd. In die zin is Somnia meer een destructief hulpmiddel dat gericht is op het verstoren van de operaties van slachtoffers en het onbruikbaar maken van hun systemen en is het geen ransomware in de traditionele zin van het woord, waarbij afpersing en een soort betaling betrokken zijn.

Het rapport over Somnia stelt dat zelfs de auteurs van de malware niet eens de mogelijkheden hebben om bestanden te decoderen, waardoor het een destructief hulpmiddel is.