勒索软件集团Nefilim，——一家因勒索软件而生且收入超过 10 亿美元的公司

·     美国研究人员提供了一个关于 Nefilim 的案例说明，该公司勒索软件运营商使用“双重勒索”策略来确保受害者组织为此勒索付费。 

      该组织是采用两种不同方法勒索受害者的众多组织之一。

     勒索软件是一种恶意软件，旨在加密受感染的系统。一旦它落在易受攻击的机器上——无论是通过网络钓鱼消息、软件漏洞、被盗的访问凭据，还是其他方式——文件和驱动器将被加密，并且只能使用解密密钥恢复。 

     解密密钥是悬在受害者面前的唯一办法，勒索软件公司通常会得到一个密钥和恢复系统的手段以换取报酬。对于企业参与者，赎金要求可能达到数百万美元——而且永远无法保证会发布密钥或在技术后立马可以恢复工作。

     随着我们每周听到更多案例，“勒索软件”一词已成为公众熟悉的词。 

     最近几个月，Colonial Pipeline遭受了勒索软件的爆发，最终导致美国部分地区的燃料短缺，并且在爱尔兰国家卫生服务机构受到感染后，HSE 仍在经历“重大”中断。

     勒索软件的不同之处在于“双重勒索”的可能性，这是一种相对较新的策略，旨在加大受害者支付的压力。在网络攻击期间，包括 Maze、Nefilim、REvil 和 Clops 在内的勒索软件运营商将窃取机密数据，并威胁要在泄密网站上发布或出售这些信息。 

     周二，相关媒体发布了一项案例研究，研究人员认为勒索软件组织 Nefilim 最初是作为勒索软件即服务 (RaaS) 机构与 Nemty 相关联的。

     Nemty 出现在 2019 年，但与Sentinel Labs一起，而 Nefilim 起源于 2020 年 3 月。 

     这两个被公司称为“Water Roc”的演员都提供了相对应的RaaS 订阅服务，当知名受害者被附属机构抓住时，利润率则有大幅度降低。

     研究表示，Nefilim 通常专注于暴露的远程桌面服务 (RDP) 服务和公共概念验证 (PoC) 漏洞利用代码。其中包括CVE-2019-19781 和 CVE-2019-11634，这两个都是在 2020 年收到补丁的 Citrix 网关设备中的已知错误。

     但是，当发现未修补的服务时，将启动漏洞利用代码并获得初始访问权限。Nefilim 首先下载 Cobalt Strike 信标、Process Hacker（用于终止端点安全代理）、Mimikatz 凭证转储程序和其他工具。 

     在团队记录的一个案例中，Nefilim 还能够利用 CVE-2017-0213，这是 Windows 组件对象模型 (COM) 软件中的一个旧漏洞。虽然早在 2017 年就发布了补丁，但该错误仍然存在，并允许该组将其权限提升到管理员级别。

    勒索软件运营商还可能利用被盗或容易强制的凭据来访问公司网络。 

    MEGAsync 可用于在攻击期间窃取数据。然后将部署 Nefilim 勒索软件并开始加密内容。扩展名各不相同，但该组已与扩展名 Nephilim、Merin 和 Off-White 相关联。

     为每个排队等待加密的文件生成一个随机 AES 密钥。然后，恶意软件将使用固定的 RC4 密钥解密赎金票据，该密钥为受害者提供电子邮件地址，以便就付款事宜与他们联系。

     研究人员说：“为了在受害者支付赎金的情况下启用文件解密，恶意软件会使用固定的 RSA 公钥对生成的 AES 密钥进行加密，并将其附加到加密文件中。” “迄今为止，只有攻击者才能解密这个方案，因为他们独自拥有配对的私有 RSA 密钥。”

     就受害者而言，Nefilim 最常与针对年收入达 10 亿美元或更多的组织的攻击联系在一起；然而，恶意软件运营商过去也曾攻击过规模较小的公司。 

     大多数受害者在美国，其次是欧洲、亚洲和大洋洲。

     研究表示：“现代攻击者已经从广泛发送的、不分青红皂白的勒索软件转向了一种更加危险的新模型。” “今天，企业受到这些新的 APT 级勒索软件攻击。事实上，它们可能比 APT 更糟糕，因为勒索软件最终会破坏数据，而窃取信息的 APT 几乎从不具有破坏性。防御的需求更加迫切组织对抗勒索软件攻击，而现在，风险要高得多。”