睡眠勒索软件

俄罗斯黑客正在使用一种名为 Somnia 的新勒索软件来破坏乌克兰目标的正常活动。在俄罗斯入侵乌克兰之后，信息安全研究人员不断报告说，针对乌克兰政府和私营部门实体的攻击活动急剧增加。有关 Somnia 勒索软件及其运营商的详细信息已在 CERT-UA（乌克兰计算机应急响应小组）的一份报告中向公众公布。

感染链

根据他们的调查结果，对 Somnia 攻击负责的网络罪犯属于被认为是亲俄罗斯的黑客组织，名为 From Russia with Love (FRwL)，也被追踪为 Z-Team 和 UAC-0118。威胁行为者使用勒索软件工具影响自动化系统以及属于被破坏目标的电子计算机的运行。

Infosec 专家警告说，FRwL 利用涉及多个不同威胁工具的多层感染链。最初的妥协向量被确认为下载和执行伪装成“高级 IP 扫描器”软件的武器化安装程序。虚假文件通过模仿合法门户网站的专用网站进行分发。落入陷阱的目标组织的员工将在他们的计算机上激活并安装Vidar Stealer威胁。

然后威胁行为者使用 Vidar 获取受害者的 Telegram 会话数据并随后控制他们的帐户。攻击者利用受损帐户收集 VPN 连接数据。如果 VPN 缺乏足够的 2FA（双因素身份验证），FRwL 黑客将获得对组织企业网络的未授权访问。之后，网络犯罪分子会建立一个Cobalt Strike信标并继续窃取敏感数据或执行额外的监视活动。

Somnia 勒索软件详细信息

Somnia 勒索软件威胁会影响大量不同的文件类型，并使用加密算法对它们进行加密。每个锁定的文件都将在其原始名称后附加“.somnia”。虽然大多数勒索软件操作都是出于经济动机，但 Somnia 并非如此。攻击者使用他们的威胁工具更像是数据擦除器，可以阻止受害者访问他们的数据。攻击者不要求支付赎金，因为这不是他们的主要目标。

CERT-UA 的研究人员指出，Somnia 似乎仍在积极开发中。例如，该威胁的早期版本配备并依赖于对称 3DES 算法。但是，后来的迭代切换为运行 AES 算法来加密目标文件类型。