Gli hacktivisti russi hanno infettato diverse organizzazioni in Ucraina con un nuovo ceppo di ransomware chiamato “Somnia”, criptando i loro sistemi e causando problemi operativi.
Gli hacker russi hanno un nuovo ransomware al lavoro, ha rilevato il CERT-UA, il Computer Emergency Response Team dell’Ucraina. Si tratta di un virus ransomware chiamato “Somnia”, attribuito al gruppo From Russia with Love (FRwL), noto anche come Z-Team o UAC-0118. Il gruppo ha pubblicizzato la creazione del ransomware su Telegram e ha persino pubblicato prove di attacchi contro i produttori di carri armati in Ucraina.
Il virus, a differenza dei comuni ransomware (che porterebbero gli infetti a essere ricattati chiedendo un riscatto), crittografa i dati e lavora per eliminarli e causare problemi operativi. Nonostante il rapporto sulla sicurezza, l’Ucraina non ha confermato se gli hacker siano riusciti a condurre con successo un attacco con questa nuova soluzione, sebbene il gruppo FRwL abbia già effettuato attacchi ai computer delle organizzazioni ucraine.
Secondo CERT-UA, gli hacker creano siti web fasulli che imitano il software “Advanced IP Scanner” per indurre le persone a scaricare un programma di installazione che finisce per infettare il sistema con il virus Vidar, che ruba i dati dalla sessione Telegram della vittima per prendere il controllo del suo account.
Quindi, gli hacker minaccerebbero di abusare dell’account Telegram della vittima — in qualche modo, non specificato dagli ucraini — per rubare i dati della connessione VPN.
Se l’account VPN non è protetto dall’autenticazione a due fattori, gli hacker lo utilizzeranno per ottenere l’accesso non autorizzato alla rete aziendale del datore di lavoro della vittima. Quindi, il ransomware esegue la scansione dei dati dell’utente e cerca diversi tipi di file, da file di testo, foto, video, ecc., e li crittografa con l’estensione “.somnia”.
I dati rimangono sui dispositivi interessati, ma vengono resi inutili in un modo che non può essere recuperato dalle vittime.