研究人员发现一名尼日利亚威胁行为者试图将组织的内部员工转变为内部间谍,鼓励他们部署勒索软件,然后从赎金中分一杯羹。AbnormalSecurity的研究人员发现并阻止了本月早些时候发送给其客户的电子邮件,这些电子邮件向人们承诺,如果他们成功安装DemonWare勒索软件,将获得100万美元的比特币。他们说,潜在的攻击者说他们与DemonWare勒索软件组织有关,该组织也被称为BlackKingdom或DEMON。“在最近的这次活动中,发件人告诉公司员工,如果他们能够在公司PC或Windows服务器上部署勒索软件,那么他们将获得100万美元的比特币,即250万美元赎金的40%,并且员工被告知他们可以以物理方式或远程方式启动勒索软件。”DemonWare是一个总部位于尼日利亚的勒索软件组织,已经存在多年。该组织最后一次与许多其他威胁参与者一起出现在一系列攻击中,目标是3月份发现的MicrosoftExchange的ProxyLogon系列漏洞(CVE-2021-27065)。攻击方式攻击活动通过邮件要求员工帮助安装勒索软件,同时提出如果员工执行则支付费用。它还为收件人(攻击者后来说他们是通过LinkedIn找到的)提供了一种在幕后联系攻击者的方式。为了更多地了解威胁参与者和活动,来自AbnormalSecurity的研究人员正是这样做的。他们发回了一条消息,说他们已经查看了电子邮件并询问他们需要做什么来提供帮助。”半小时后,幕后攻击者回复并重申了原邮件中的内容,然后询问我们是否可以访问我们公司的Windows服务器。当然,我们确实可以访问服务器,所以我们回复了我们可以,请问这个攻击者是如何向我们发送勒索软件的。研究人员持续与威胁行为者沟通了五天,他们在幕后与攻击者非常配合。由于研究人员能够联系到犯罪分子,他们是能够更好一旦联系上,攻击者就会向研究人员发送指向两个可执行文件的链接,这些文件可以在文件共享网站WeTransfer或Mega.nz上下载。“根据对名为Walletconnect(1).exe的文件的分析,我们能够确认它实际上是勒索软件,”研究人员指出。有弹性。虽然比特币的初始金额为250万美元,但当研究人员表示他们工作的公司年收入为5000万美元时,威胁者迅速将这一金额降至25万美元,然后是12.0万美元。“在整个谈话过程中,攻击者反复试图让我们放心,并确保我们不会被抓住,因为勒索软件会加密系统上的所有内容,”研究人员说。根据攻击者的说法,这将包括可能存储在服务器上的任何CCTV(闭路电视)文件。网站,他们说,“与他们交流的攻击者很可能是尼日利亚人。总体而言,该实验为研究网络攻击提供了新的素材和背景,研究了位于尼日利亚的西非威胁行为者如何在其网络犯罪行动中使用社会工程。一位安全专家指出网络犯罪和社会工程学之间的界限长期以来一直很模糊,副总裁蒂姆·厄林(TimErlin)谈到这场运动时说:“这是一个很好的活动。”例如,两者交织在一起。他在给Threatpost的一封电子邮件中说:“随着人们越来越善于识别和避免网络钓鱼,我们看到攻击者采用了新的策略。毫不奇怪,该活动还揭示了攻击者如何利用内部不满情绪试图让他们去做另一位安全专家指出,间谍活动为他们工作。看,但可以为勒索软件提供进入组织内部网络的好方法。KnowBe4的数据驱动防御分析师RogerGrimes说:“勒索软件受害者尽力而为始终很重要跟踪勒索软件如何进入他们的环境。这是重要的一步。如果你不弄清楚黑客、恶意软件和勒索软件是如何进入的,你就无法阻止他们一次又一次地尝试攻击。”注明原文地址。
