8月19日,异常安全发布报告称:“发件人告诉公司员工,如果他们能在公司电脑或Windows服务器上部署勒索软件,他们就能收到价值100万美元的款项比特币,或250万美元赎金的40%。员工被告知:勒索软件可以物理或远程启动。如果员工有兴趣,发件人还提供了两个联系方式:Outlook电子邮件帐户和Telegram用户名。”BlackKingdom,也被称为DemonWare和DEMON,在今年3月初引起了安全社区的注意,当时黑客利用影响MicrosoftExchange服务器的ProxyLogon漏洞在未打补丁的系统上植入勒索软件。异常安全于8月12日检测到并阻止了钓鱼邮件,通过创建头像回应邀请,并在TelegramMessenger上联系了黑客,黑客无意中泄露了攻击向量,其中包括两个可执行的勒索软件有效载荷一个下载链接供员工下载通过WeTransfer或Mega.nz。AbnormalSecurity的威胁情报主管CraneHassold说:“黑客还指示我们处理.EXE文件并将其从回收站中删除。根据黑客的回应,很明显1)他希望员工拥有对服务器的物理访问,以及2)他对数字取证或事件响应调查不是很熟悉。”除了灵活的赎金要求外,据说该计划是由尼日利亚拉各斯一家名为Sociogram的社交网络初创公司的首席执行官炮制的,目的是利用抽取的资金“建立自己的公司”。在为期五天的聊天中,该男子甚至称自己为“下一个马克·扎克伯格。”另外值得注意的是使用LinkedIn获取高管公司电子邮件地址,这再次凸显了源自尼日利亚的商业电子邮件妥协(BEC)攻击如何继续发展,暴露企业Tripwire产品管理和战略副总裁TimErlin说:“网络攻击和社会工程学之间的界限总是模糊的,而这个案例研究显示了两者是如何交织在一起的,”复杂的攻击,例如处于风险中的勒索软件。更善于识别和避免网络钓鱼,看到攻击者采用新的策略来实现他们的目标也就不足为奇了。“将心怀不满的内部人员视为网络安全威胁的想法并不新鲜。只要企业需要员工,就会始终存在内部风险。分享赎金的承诺似乎很诱人,但几乎不能保证这样共谋行为实际上会得到回报,接受攻击者提议的人被抓的可能性很高。”
