Nowe oprogramowanie ransomware Somnia używane przeciwko ukraińskim celom

Ukraiński CERT ostrzegł przed nową rodziną oprogramowania ransomware wdrożonego przez rosyjskich cyberprzestępców i wykorzystywanego do atakowania podmiotów zlokalizowanych na Ukrainie. Nowa rodzina ransomware nazywa się Somnia, a eksperci uważają, że jest powiązana z „haktywistyczną” grupą o nazwie From Russia with Love, znaną również pod pseudonimem UAC-0018.

Co najmniej jeden atak polegał na tym, że próbka złośliwego oprogramowania złodzieja Vidar była rozpowszechniana jako złośliwa fałszywa kopia aplikacji o nazwie Advanced IP Scanner.

Podmiot, który zarządzał Vidarem w sieci ofiary, „przekazał” dane skradzione podczas włamania do haktywistów w UAC-0018, a oni użyli ich do wdrożenia Somni w systemach ofiary.

Vidar został wykorzystany do złamania konta Telegram ofiary i kradzieży danych logowania VPN dla kont, które nie miały włączonej funkcji uwierzytelniania wieloskładnikowego.

Mimo że Somnia jest sklasyfikowana jako odmiana i rodzina oprogramowania ransomware, hakerzy współpracujący z From Russia with Love nie zażądali żadnego okupu. W tym sensie Somnia jest bardziej destrukcyjnym narzędziem mającym na celu zakłócanie operacji ofiar i uniemożliwianie działania ich systemów, a nie ransomware w tradycyjnym znaczeniu tego słowa, w którym w grę wchodzą wymuszenia i jakiś rodzaj płatności.

Raport na temat Somni stwierdza, że nawet autorzy szkodliwego oprogramowania nie mają nawet możliwości odszyfrowania plików, co czyni go destrukcyjnym narzędziem.