研究人員發(fā)現(xiàn)一個(gè)尼日利亞的威脅行為者在試圖將一個(gè)組織的內(nèi)部員工變成內(nèi)部間諜，慫恿他們部署贖金軟件，然后獲得贖金利潤(rùn)的分成。

Abnormal Security的研究人員發(fā)現(xiàn)并阻止了本月早些時(shí)候向其客戶發(fā)送的一些電子郵件，這些電子郵件向人們保證如果能成功安裝DemonWare勒索軟件，他們將獲得100萬(wàn)美元的比特幣。他們說(shuō)，這些潛在的攻擊者說(shuō)他們與DemonWare勒索軟件集團(tuán)有聯(lián)系，該集團(tuán)也被稱(chēng)為黑色王國(guó)或DEMON。

研究人員在周四發(fā)表的一份有關(guān)該活動(dòng)的報(bào)告中寫(xiě)道："在這個(gè)最新的活動(dòng)中，發(fā)件人告訴企業(yè)雇員，如果他們能夠在公司的電腦或Windows服務(wù)器上部署勒索軟件，那么他們將得到100萬(wàn)美元的比特幣，或250萬(wàn)美元贖金的40%分成，該員工還被告知他們可以通過(guò)物理或遠(yuǎn)程方式啟動(dòng)勒索軟件"。

DemonWare是一個(gè)位于尼日利亞的勒索軟件集團(tuán)，已經(jīng)存在了幾年時(shí)間。該組織最后一次出現(xiàn)是與其他許多威脅行為者一起，針對(duì)微軟Exchange的ProxyLogon系列漏洞(CVE-2021-27065)發(fā)起的一連串的攻擊，這些漏洞是在3月份發(fā)現(xiàn)的。

攻擊的方式

該攻擊活動(dòng)通過(guò)電子郵件來(lái)尋求員工的幫助安裝勒索軟件，同時(shí)提出如果該員工執(zhí)行，就支付報(bào)酬。它還讓收件人(攻擊者后來(lái)說(shuō)他們是通過(guò)LinkedIn找到的)有辦法聯(lián)系到幕后的攻擊者。

為了解更多關(guān)于威脅行為者和活動(dòng)的情況，來(lái)自Abnormal Security的研究人員就這樣做了。他們發(fā)回了一條信息，表示他們已經(jīng)查看了該郵件，并詢問(wèn)他們需要做什么來(lái)幫助。

研究人員寫(xiě)道："半小時(shí)后，幕后攻擊者回復(fù)并重申了最初電子郵件中的內(nèi)容，隨后又問(wèn)我們是否能夠訪問(wèn)我們公司的Windows服務(wù)器。當(dāng)然，我們確實(shí)可以訪問(wèn)該服務(wù)器，所以我們回答說(shuō)我們可以，并詢問(wèn)該攻擊者如何將贖金軟件發(fā)送給我們。

研究人員繼續(xù)與威脅者進(jìn)行了五天的溝通，他們非常配合幕后攻擊者的行動(dòng)。由于研究人員能夠與犯罪分子接觸，能夠更好地了解動(dòng)機(jī)和策略。

一直在改變的攻擊方式

在聯(lián)系上后，攻擊者向研究人員發(fā)送了兩個(gè)可執(zhí)行文件的鏈接，這些文件可以在文件共享網(wǎng)站W(wǎng)eTransfer或Mega.nz進(jìn)行下載。

研究人員指出："該文件被命名為 Walletconnect (1).exe，根據(jù)對(duì)該文件的分析，我們能夠確認(rèn)它實(shí)際上是勒索軟件。”

研究人員說(shuō)，該威脅攻擊者在贖金的數(shù)額要求上非常有靈活性。雖然最初的金額是250萬(wàn)美元的比特幣，但當(dāng)研究人員說(shuō)他們?yōu)橹ぷ鞯墓镜哪晔杖霝?000萬(wàn)美元時(shí)，該威脅行為者迅速將該金額降至25萬(wàn)美元，然后降至12萬(wàn)美元。

研究人員說(shuō)："在整個(gè)對(duì)話過(guò)程中，該攻擊者反復(fù)試圖打消我們的任何猶豫，確保我們不會(huì)被抓住，因?yàn)槔账鬈浖⒓用芟到y(tǒng)中的一切文件。據(jù)該攻擊者說(shuō)，這將包括可能存儲(chǔ)在服務(wù)器上的任何CCTV(閉路電視)文件。"

通過(guò)他們?cè)谥八龅难芯康陌l(fā)現(xiàn)，根據(jù)在奈拉(尼日利亞貨幣)交易網(wǎng)站和俄羅斯社交媒體平臺(tái)網(wǎng)站上發(fā)現(xiàn)的信息，他們說(shuō)，與他們通信的攻擊者很可能是尼日利亞人。

總的來(lái)說(shuō)，該實(shí)驗(yàn)為研究網(wǎng)絡(luò)攻擊提供了新的素材和背景，可以看到位于尼日利亞的西非威脅者如何在網(wǎng)絡(luò)犯罪活動(dòng)中使用社會(huì)工程學(xué)。

一位安全專(zhuān)家指出，長(zhǎng)期以來(lái)，網(wǎng)絡(luò)犯罪和社會(huì)工程之間一直存在著模糊的界限， 副總裁蒂姆-埃林(Tim Erlin)在談到這次活動(dòng)時(shí)說(shuō)："這是一個(gè)很好的例子，說(shuō)明這兩者是相互交織的。”

他在給Threatpost的一封電子郵件中說(shuō)："隨著人們?cè)谧R(shí)別和避免網(wǎng)絡(luò)釣魚(yú)方面變得越來(lái)越好，看到攻擊者采用新的戰(zhàn)術(shù)來(lái)實(shí)現(xiàn)他們的攻擊目的應(yīng)該不足為奇。”

另一位安全專(zhuān)家指出，該攻擊活動(dòng)還揭示了攻擊者如何利用內(nèi)部人員的不滿情緒，試圖讓他們?yōu)樽约鹤鲩g諜工作，這也不是第一次見(jiàn)，但可以為勒索軟件進(jìn)入組織的內(nèi)部網(wǎng)絡(luò)提供了一種很好的方式。

KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御分析師Roger Grimes說(shuō)："勒索軟件受害者會(huì)盡力追蹤勒索軟件是如何進(jìn)入他們的環(huán)境的，這一點(diǎn)一直很重要。這是一個(gè)很重要的步驟。如果你不弄清楚黑客、惡意軟件和勒索軟件是如何進(jìn)入的，你就無(wú)法阻止他們嘗試反復(fù)攻擊。"

本文翻譯自：https://threatpost.com/nigerian-solicits-employees-ransomware-profits/168849/如若轉(zhuǎn)載，請(qǐng)注明原文地址。