2020年8月,Nefilim勒索软件运营商入侵了SPIEGroup,并透露他们窃取了该公司的敏感数据,包括该公司的电信服务合同、法律文件、授权书文件等。2020年12月,美国家电跨国公司惠而浦遭到Nefilim勒索软件攻击。黑客要求该公司支付赎金,否则被盗数据将被泄露。在与惠而浦高管谈判失败后,黑客泄露了从惠而浦窃取的数据,其中包括员工福利、住宿要求、医疗信息和其他相关信息。Nefilim凭借其双重勒索功能和2020年发起的几次著名攻击而声名鹊起。Nefilim是著名的勒索软件变种之一,在其活动中使用双重勒索策略。Nefilim于2020年3月首次被发现,从一开始,它的攻击策略就是威胁公布受害者被盗的数据,以迫使他们支付赎金。除了使用这种策略外,Nephilim的另一个显着特征是它与Nemity的相似之处。事实上,它被认为是早期勒索软件的进化版本。初始访问的详细信息在初始访问期间,Nefilim背后的参与者使用各种分支机构传播他们的恶意软件,这些分支机构使用各种方法来传播恶意程序。根据之前的攻击分析,Nefilim主要是通过暴露的RDP恶意注入系统。一些分支机构还使用了其他已知漏洞进行初始访问,这些漏洞已经得到初步验证,从这些初步分析中我们发现攻击者使用了Citrix漏洞(CVE-2019-19781)来获得对系统的访问权限。2019年底,CitrixADC和CitrixGateway被曝出高危远程代码执行漏洞CVE-2019-19781。该漏洞最吸引人的特点是未经授权的攻击者可以利用它入侵和控制Citrix设备,实现对内网资源的进一步访问和获取。Nefilim还被发现使用派对工具获取凭证,包括Mimikatz、LaZagne和NirSoft的NetPass,窃取的凭证被用于攻击服务器等更高价值的设备。一旦进入受害者的系统,勒索软件就会开始投放并执行其组件,例如防病毒和渗透工具,以及Nefilim本身。网络横向移动攻击者利用多种合法工具进行横向移动,例如,它使用PsExec或WindowsManagementInstrumentation(WMI)进行横向移动、删除和执行其他组件,包括勒索软件本身。据观察,Nefilim使用批处理文件来终止某些进程和服务。它甚至使用PCHunter、ProcessHacker和RevoUninstaller等第三方工具来终止与防病毒相关的进程、服务和应用程序。它还使用AdFind、BloodHound或SMBTool来识别ActiveDirectory或连接到域的设备。数据窃取细节最近勒索软件变体的一个显着特征是它们不断增长的数据窃取能力。对于Nefilim,已观察到将数据从服务器或共享目录复制到本地目录,使用7-Zip存档此数据,然后使用MEGAsync泄露此数据。缓解研究人员发现,对于像Nefilim这样的攻击,他们在初始访问和横向移动上花费的时间是昂贵的。然而,一旦横向移动开始,攻击者就会迅速移动。他们优先考虑在主机之间移动和窃取数据。因此,组织可以考虑限制在横向移动阶段可以使用的计算机数量。这涉及尽可能使用双因素身份验证(2FA)、实施应用程序安全列表和强制执行安全策略(例如最小权限)等解决方案。至于如何保护你的系统免受Nefilim的威胁,最好的做法仍然是防御。最好在防守上努力,以防止像这样的横向移动攻击。组织应考虑使用基于金丝雀的监控(金丝雀文件类型可快速识别感染的发生并帮助遏制勒索软件)、加密监控和进程终止。其他可采取的最佳安全措施包括:1.避免打开未经验证的电子邮件或单击其中嵌入的链接,因为这些可能会启动勒索软件安装过程。2.使用3-2-1规则备份您的重要文件。3备份除了原始副本外,您还应该始终为重要数据准备两个额外的备份副本,无论是存储在服务器、网络附加存储、硬盘驱动器、云端还是其他地方。这将确保没有单个事件会破坏所有重要数据。2格式:3-2-1规则的第二定律指出,您应该至少在两种不同的媒体或存储类型中保留数据的副本。这可能包括内部驱动器以及外部介质,例如磁盘、磁带、闪存和网络存储或云存储。1异地备份:为了保护数据免受火灾、洪水或盗窃等物理灾难,必须至少存储一份异地备份。当您为重要数据创建了多个副本时,保持原始数据的完整性非常重要,否则由该数据备份的每个副本都会有同样的缺陷。3.定期更新软件、程序和应用程序,以确保您的应用程序是最新的,并拥有针对新漏洞的最新保护措施。本文翻译自:https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html如有转载请注明原文地址。
