睡眠勒索軟件

俄羅斯黑客正在使用一種名為 Somnia 的新勒索軟件來破壞烏克蘭目標的正常活動。在俄羅斯入侵烏克蘭之後，信息安全研究人員不斷報告說，針對烏克蘭政府和私營部門實體的攻擊活動急劇增加。有關 Somnia 勒索軟件及其運營商的詳細信息已在 CERT-UA（烏克蘭計算機應急響應小組）的一份報告中向公眾公佈。

感染鏈

根據他們的調查結果，對 Somnia 攻擊負責的網絡罪犯屬於被認為是親俄羅斯的黑客組織，名為 From Russia with Love (FRwL)，也被追踪為 Z-Team 和 UAC-0118。威脅行為者使用勒索軟件工具影響自動化系統以及屬於被破壞目標的電子計算機的運行。

Infosec 專家警告說，FRwL 利用涉及多個不同威脅工具的多層感染鏈。最初的妥協向量被確認為下載和執行偽裝成“高級 IP 掃描器”軟件的武器化安裝程序。虛假文件通過模仿合法門戶網站的專用網站進行分發。落入陷阱的目標組織的員工將在他們的計算機上激活並安裝Vidar Stealer威脅。

然後威脅行為者使用 Vidar 獲取受害者的 Telegram 會話數據並隨後控制他們的帳戶。攻擊者利用受損帳戶收集 VPN 連接數據。如果 VPN 缺乏足夠的 2FA（雙因素身份驗證），FRwL 黑客將獲得對組織企業網絡的未授權訪問。之後，網絡犯罪分子會建立一個Cobalt Strike信標並繼續竊取敏感數據或執行額外的監視活動。

Somnia 勒索軟件詳細信息

Somnia 勒索軟件威脅會影響大量不同的文件類型，並使用加密算法對它們進行加密。每個鎖定的文件都將在其原始名稱後附加“.somnia”。雖然大多數勒索軟件操作都是出於經濟動機，但 Somnia 並非如此。攻擊者使用他們的威脅工具更像是數據擦除器，可以阻止受害者訪問他們的數據。攻擊者不要求支付贖金，因為這不是他們的主要目標。

CERT-UA 的研究人員指出，Somnia 似乎仍在積極開發中。例如，該威脅的早期版本配備並依賴於對稱 3DES 算法。但是，後來的迭代切換為運行 AES 算法來加密目標文件類型。