乌克兰面临新的Somnia勒索软件攻击

关键要点

根据BleepingComputer的报道，乌克兰的多个组织正在遭受新的Somnia勒索软件攻击。乌克兰计算机应急响应小组CERTUA将此次网络攻击归因于俄罗斯黑客组织“From Russia with Love”，该组织也被称为ZTeam和UAC0118。

据CERTUA称，FRwL通过伪造的网站冒充“高级IP扫描器”软件，以引诱乌克兰组织的员工下载恶意安装程序。该安装程序能够引发Vidar窃取器的感染。这些攻击者首先会窃取目标的Telegram会话数据，随后利用Telegram账户来盗取VPN连接信息。

在取得初步信息后，攻击者会继续使用Cobalt Strike进行进一步的数据渗透，接着通过Anydesk、Ngrok、Rclone和Netscan等工具实施远程访问和监视。这种方法最终被用来部署Somnia勒索软件，目标包括档案、文档、图像、视频文件、数据库和其他重要信息。

虽然Somnia勒索软件的行为方式与传统的勒索软件有所不同，它并不寻求赎金，而是更应该被视为一种数据清除工具。BleepingComputer指出，用户在面对这种新型攻击时应保持警惕。

攻击过程详细说明伪造网站使用伪装成“高级IP扫描器”的网站来诱骗用户下载恶意软件。初步感染安装程序同时传播Vidar窃取器。数据窃取窃取Telegram会话数据并利用其账户盗取VPN信息。远程访问使用多个工具获取远程监控和访问目标系统。数据清除部署Somnia勒索软件以清除数据。

通过列举攻击步骤和方法，我们可以更清楚地了解当前的网络安全威胁，提醒相关组织在网络环境中保持高度警惕。