研究人员发觉一个尼日利亚的危害个人行为者在尝试将一个机构的内部员工变为内部结构特工,唆使她们布署赎金手机软件,随后得到赎金盈利的分为。
Abnormal Security的研究人员发觉并阻拦了本月稍早向其顾客上传的一些电子邮件,这种电子邮件向大家确保假如能完成安裝DemonWare勒索软件,她们将得到100万美金的BTC。她们说,这种不确定性的网络攻击说她们与DemonWare勒索软件集团公司有联络,该集团公司也被称作黑色帝国或DEMON。
研究人员在周四发布的一份相关该行动的报告书中写到:"在这个全新的活動中,发件人告知公司员工,假如她们可以在企业的计算机或Windows网络服务器上布署勒索软件,那麼她们将获得100万美金的BTC,或250万美金赎金的40%分为,该职工还被告之她们可以利用物理学或远程控制方法运行勒索软件"。
DemonWare是一个坐落于尼日利亚的勒索软件集团公司,早已存有了两年時间。该机构最后一次发生是与其它很多危害个人行为者一起,对于微软公司Exchange的ProxyLogon系列系统漏洞(CVE-2021-27065)进行的一连串的进攻,这种系统漏洞是在3月份发觉的。
进攻的方法
该进攻主题活动根据电子邮件来寻找职工的作用安裝勒索软件,与此同时明确提出假如该职工实行,就付款酬劳。它还让收货人(网络攻击之后说这些人是根据LinkedIn寻找的)有方法联络到背后的网络攻击。
为掌握更多的有关危害个人行为者和行动的状况,来源于Abnormal Security的研究人员就是这样干了。她们送回了一条信息内容,表明她们早已查询了该电子邮件,并了解她们必须干什么来协助。
研究人员写到:"半小时后,背后网络攻击回应并严格执行了最开始电子邮件中的內容,接着又问大家是不是可以浏览大家企业的Windows网络服务器。自然,大家的确可以浏览该网络服务器,因此大家回应说我们可以,并了解该网络攻击如何把赎金手机软件发给大家。
研究人员再次与危害者开展了五天的沟通交流,她们十分相互配合背后网络攻击的行为。因为研究人员可以与犯罪嫌疑人触碰,可以更好的掌握动因和对策。
一直在更改的拒绝服务攻击
在联络之后,网络攻击向研究人员推送了2个可执行程序的连接,这种文档可以在共享文件网址WeTransfer或Mega.nz开展免费下载。
研究人员强调:"该文件被取名为 Walletconnect (1).exe,依据对该文件的剖析,大家可以确定它其实是勒索软件。”
研究人员说,该危害网络攻击在赎金的金额规定上特别有操作灵活性。尽管最开始的数额是250万元的BTC,但当研究人员说她们为此工作中的集团公司的年薪为5000万美金时,该危害个人行为者快速将该额度降到25万美金,随后降到12万美金。
研究人员说:"在全部会话全过程中,该网络攻击不断尝试消除大家的一切迟疑,保证大家并不会被把握住,由于勒索软件将加密系统中的一切文档。据该网络攻击说,这将包含很有可能储存在云服务器上的一切CCTV(数字电视)文档。"
根据它们在前所做的研究的发觉,依据在奈拉(尼日利亚贷币)交易网站和俄国社交媒体网络平台上发觉的信息内容,她们说,与它们通讯的网络攻击很可能是尼日利亚人。
总体来说,该试验为研究黑客攻击给予了新的材料和环境,能够看见坐落于尼日利亚的西非危害者怎样在互联网犯罪行为中应用社会工程学。
一位安全性权威专家强调,一直以来,网络诈骗和社会工程中间一直出现着模糊不清的界线, 高级副总裁蒂姆-埃林(Tim Erlin)在提到此次运动时表示:"这是一个非常好的事例,表明这二者是相互依存的。”
他在给Threatpost的一封电子邮件上说:"伴随着大家在鉴别和防止钓鱼攻击层面越来越越变越好,见到网络攻击选用新的战略来达到她们的进攻目地应当不奇怪。”
另一位安全性权威专家强调,该进攻主题活动还表明了网络攻击怎样运用内部结构人员的不良情绪,尝试让它们为自己做特工工作中,这也不是第一次见,但可以为勒索软件进到机构的里面互联网给予了一种有效的方法。
KnowBe4的数据驱动防御力投资分析师Roger Grimes说:"勒索软件受害人会竭尽全力跟踪勒索软件是如何进入她们的自然环境的,这一点一直很重要。这是一个很重要的流程。假如你没搞清楚网络黑客、恶意程序和勒索软件是如何进入的,你也就没法阻拦她们试着不断进攻。"
文中翻譯自:https://threatpost.com/nigerian-solicits-employees-ransomware-profits/168849/倘若转截,请标明全文详细地址。