Novo Somnia Ransomware usado contra alvos ucranianos

O CERT ucraniano alertou sobre uma nova família de ransomware implantada por agentes de ameaças russos e usada para atingir entidades localizadas na Ucrânia. A nova família de ransomware é chamada Somnia e especialistas acreditam que ela está ligada a um grupo "hacktivista" chamado From Russia with Love, também conhecido sob o pseudônimo UAC-0018.

Pelo menos um ataque envolveu uma amostra do malware ladrão Vidar sendo distribuído como uma cópia falsa maliciosa de um aplicativo chamado Advanced IP Scanner.

A entidade que executou o Vidar na rede da vítima "transferiu" os dados roubados na violação para os hacktivistas do UAC-0018 e eles os usaram para implantar o Somnia nos sistemas da vítima.

O Vidar foi usado para comprometer a conta do Telegram da vítima e roubar informações de login da VPN para contas que não tinham autenticação multifator habilitada.

Embora o Somnia seja classificado como uma variante e família de ransomware, os hackers que trabalham com From Russia with Love não pediram nenhum resgate. Nesse sentido, o Somnia é mais uma ferramenta destrutiva destinada a interromper as operações das vítimas e tornar seus sistemas inoperantes e não é ransomware no sentido tradicional da palavra, onde extorsão e algum tipo de pagamento estão envolvidos.

O relatório da Somnia afirma que mesmo os autores do malware nem sequer têm recursos para descriptografar arquivos, tornando-o uma ferramenta destrutiva.