勒索软件集团Nefilim,——一家因勒索软件而生且收入超过 10 亿美元的公司

  • A+
所属分类:安全新闻

前情提要


·     美国研究人员提供了一个关于 Nefilim 的案例说明,该公司勒索软件运营商使用“双重勒索”策略来确保受害者组织为此勒索付费。 

      该组织是采用两种不同方法勒索受害者的众多组织之一。

勒索软件集团Nefilim,——一家因勒索软件而生且收入超过 10 亿美元的公司


具体内容


     勒索软件是一种恶意软件,旨在加密受感染的系统。一旦它落在易受攻击的机器上——无论是通过网络钓鱼消息、软件漏洞、被盗的访问凭据,还是其他方式——文件和驱动器将被加密,并且只能使用解密密钥恢复。 



     解密密钥是悬在受害者面前的唯一办法,勒索软件公司通常会得到一个密钥和恢复系统的手段以换取报酬。对于企业参与者,赎金要求可能达到数百万美元——而且永远无法保证会发布密钥或在技术后立马可以恢复工作。


     随着我们每周听到更多案例,“勒索软件”一词已成为公众熟悉的词。 

勒索软件集团Nefilim,——一家因勒索软件而生且收入超过 10 亿美元的公司


     最近几个月,Colonial Pipeline遭受了勒索软件的爆发,最终导致美国部分地区的燃料短缺,并且在爱尔兰国家卫生服务机构受到感染后,HSE 仍在经历“重大”中断。


     勒索软件的不同之处在于“双重勒索”的可能性,这是一种相对较新的策略,旨在加大受害者支付的压力。在网络攻击期间,包括 Maze、Nefilim、REvil 和 Clops 在内的勒索软件运营商将窃取机密数据,并威胁要在泄密网站上发布或出售这些信息。 


     周二,相关媒体发布了一项案例研究,研究人员认为勒索软件组织 Nefilim 最初是作为勒索软件即服务 (RaaS) 机构与 Nemty 相关联的。


     Nemty 出现在 2019 年,但与Sentinel Labs一起,而 Nefilim 起源于 2020 年 3 月。 


     这两个被公司称为“Water Roc”的演员都提供了相对应的RaaS 订阅服务,当知名受害者被附属机构抓住时,利润率则有大幅度降低。

 

     研究表示,Nefilim 通常专注于暴露的远程桌面服务 (RDP) 服务和公共概念验证 (PoC) 漏洞利用代码。其中包括CVE-2019-19781 和 CVE-2019-11634,这两个都是在 2020 年收到补丁的 Citrix 网关设备中的已知错误。

 

     但是,当发现未修补的服务时,将启动漏洞利用代码并获得初始访问权限。Nefilim 首先下载 Cobalt Strike 信标、Process Hacker(用于终止端点安全代理)、Mimikatz 凭证转储程序和其他工具。 


     在团队记录的一个案例中,Nefilim 还能够利用 CVE-2017-0213,这是 Windows 组件对象模型 (COM) 软件中的一个旧漏洞。虽然早在 2017 年就发布了补丁,但该错误仍然存在,并允许该组将其权限提升到管理员级别。


    勒索软件运营商还可能利用被盗或容易强制的凭据来访问公司网络。 


    MEGAsync 可用于在攻击期间窃取数据。然后将部署 Nefilim 勒索软件并开始加密内容。扩展名各不相同,但该组已与扩展名 Nephilim、Merin 和 Off-White 相关联。


     为每个排队等待加密的文件生成一个随机 AES 密钥。然后,恶意软件将使用固定的 RC4 密钥解密赎金票据,该密钥为受害者提供电子邮件地址,以便就付款事宜与他们联系。


     研究人员说:“为了在受害者支付赎金的情况下启用文件解密,恶意软件会使用固定的 RSA 公钥对生成的 AES 密钥进行加密,并将其附加到加密文件中。” “迄今为止,只有攻击者才能解密这个方案,因为他们独自拥有配对的私有 RSA 密钥。”


     就受害者而言,Nefilim 最常与针对年收入达 10 亿美元或更多的组织的攻击联系在一起;然而,恶意软件运营商过去也曾攻击过规模较小的公司。 


     大多数受害者在美国,其次是欧洲、亚洲和大洋洲。


     研究表示:“现代攻击者已经从广泛发送的、不分青红皂白的勒索软件转向了一种更加危险的新模型。” “今天,企业受到这些新的 APT 级勒索软件攻击。事实上,它们可能比 APT 更糟糕,因为勒索软件最终会破坏数据,而窃取信息的 APT 几乎从不具有破坏性。防御的需求更加迫切组织对抗勒索软件攻击,而现在,风险要高得多。”


注:本文由E安全报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读:

勒索软件集团Nefilim,——一家因勒索软件而生且收入超过 10 亿美元的公司


▼稿件合作  15558192959

  小E微信号:Eanquan0914



本文始发于微信公众号(E安全):勒索软件集团Nefilim,——一家因勒索软件而生且收入超过 10 亿美元的公司

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: