使用Nefilim RansomWare作为案例研究，现代赎金软件如何攻击工作和双重裁员策略的故障

下载现代赎金软件的双重裁员策略以及如何保护企业免受他们

多年来，Ransomware演员一直是一个持久的威胁，但他们仍在发展。广泛采用的高级网络安全技术和改进的赎金软件响应流程限制了传统赎金软件攻击的成功。升级的安全性已迫使这些网络犯罪分子扩张他们的策略，并为我们现在呼吁现代赎金软件攻击铺平了道路。

现代赎金软件演员识别和定位有价值的数据，通常从受害者的网络组织中删除它，而不是简单地加密它。这为他们提供了另一个敲诈利线：如果受害者不支付赎金，则攻击者可能会威胁要宣传私人数据。对于持有知识产权数据，专有信息，私人员工数据和客户数据的企业来说，这是一个严重的问题。任何数据泄漏都会带来监管处罚，诉讼和声誉损害。

现代赎金软件的另一个重要特征是演员更精确，涉及攻击。他们接管了多个人类监督阶段的网络，从点击链接自动事件中转向。他们还花费大量时间征服受害者网络的不同部分（一个可能需要数周或几个月的过程），在执行赎金瓶有效载荷之前，使这种攻击看起来更像是国家高级持久威胁（APT）攻击而不是传统的赎金制品事件。

本报告讨论了现代赎金软件和传统攻击之间的差异，并使用Nefilim RansomWare作为案例研究，查看新的赎金软件业务模式。

构成赎制软件业务模型的工具，策略和程序（TTP）显着变化，主要是利用推进攻击者能力的新技术。

图1显示了不同赎金软件业务模型及其各自的货币化方法中的演变和主要班次。第1型与早期货币化策略有关，其中演员受到本地化支付方法的限制。该模型已经过时，与模型2和3相比，很少使用。一些地下演员仍然喜欢模型2，它提供了来自大量受害者的适度货币化。型号3与受害者资产的更具针对性的货币化有关，并包括在网络犯罪行业过程中部署几个额外的步骤。

十年前，赎金软件演员要求通过保费率的SMS号码赎金。当商家开始使用比特币作为一种付款方式时，加密货币的出现大幅改变了2014年的比赛，直到现在，趋势仍在继续。另一个班次是地下行动者之间的协作和沟通方法。正在使用不同的平台：论坛，信使，有时甚至社交媒体。这些平台的新安全和匿名化功能改善了这些演员的能力，以隐蔽在线合作。

网络犯罪分协作的一个例子是勒索沃特作为服务（RAAS），这有助于演员发现附属公司进行赎金软件攻击。而不是只做一个赎金软件组，而是几个合作者分裂角色和利润。例如，有权获得受损资产的演员（意味着他们将途径进入受害者的网络）与开发勒索软件的演员合作。这些联盟计划的演变允许更有效地货币化受损资产，这对于所涉及的各方来说是有利可图的。

当Ransomware演员使用自动化工具时，在与受害者的协商期间，违法者将由攻击者固定或设置赎金金额。在更现代的攻击中，演员具有大量有关受害者的信息，允许更具量身定制的赎金定价。

整个攻击链往往涉及两个或更多个负责不同攻击阶段的群体。该攻击通常涉及拥有勒索软件的演员以及控制受损基础架构并通过网络分发恶意软件的另一个演员。由于该市场对七位数范围内的大型组织进行了赎金，因此攻击者可能能够提供更昂贵的工具，如零日本地特权升级（LPE）和远程代码执行（RCE）漏洞。

多个网络犯罪分子组现在经常一起运行，共享访问和以下并行货币化生命周期。这对破坏者来说非常令人困惑，他们可能不知道他们正在寻找来自几个群体的痕迹，这可能与许多平行 - 甚至无关的事件相关。这些复杂的赎金软件攻击的普遍性意味着更短的反应时间和更高的潜在影响。对于威胁狩猎，事件缓解和攻击调查，拥有XDR解决方案至关重要，这些解决方案提供完整和中央可见性，无论是组织的端点，网络，云还是其他设备。

由于组织改善的防御能力，所需的攻击或类似于攻击的攻击或APT的赎金软件货币化方案的演变是必要的。然而，新技术也可用于网络犯罪分子，以增加他们的阿森纳。此外，网络周边的多用设备和平台中的漏洞是企业的大风险 - 许多威胁使用这些弱点作为进入网络。

这转向更具目标的刑事货币化计划是由于几个关键因素，包括：

公共和私人数据库和自动化工具的可用性，有助于执行受害者的精确分类

此转变意味着在发起攻击之前已经执行了深度受害者分析，然后在分享访问和使用优化的货币化策略之间的多个组之间的协作。

本节将使用Nefilim Ransomware系列作为现代赎金软件攻击的示例。

为了获得初步访问受害者的网络，尼弗林演员使用公开的RDP服务和公开的利用。它们在Citrix应用程序交付控制器（CVE-2019-19781）中利用了漏洞，以及Google Project Zero发现的Privilege（EOP）漏洞的Windows组件对象模型（COM）提升，然后由Microsoft于2017年5月修复。

获得初始访问后，Nefilim攻击者首先在Web浏览器上下载其他工具。一个重要的下载是一种钴敲击标信标，用于建立与环境的远程连接并执行命令。 （钴攻击是一个多功能的开发后渗透工具，允许安全测试仪攻击网络，控制受损的系统，并抵抗有趣的数据。不幸的是，它的能力可以被攻击者滥用。）其他下载的文件是：进程黑客工具，它用于终止端点安全代理;和Mimikatz，用于转储凭据。

攻击者一旦它们进入网络立足，才会横向移动，这意味着它们将使用受损系统来查找要访问的其他区域。为了避免检测，攻击者通常会武器化工具，这些工具是内置的或者管理员通常使用，这是一个称为“生活在土地上”的策略。

攻击者可以部署系统内的工具，以帮助横向运动。这包括PSExec，Bloodhound和Adfind等工具。

网络犯罪分子可以滥用adfind等工具来收集Active Directory信息并映射基础架构以查找更多目标。

攻击者可以利用已知的漏洞来提升特权并执行需要提升权限的管理操作或操作。

如上一节所述，市售软件钴罢工在受害者的系统上运行。信标会将攻击者控制的C服务器连接回钴攻击C＆amp;我们已经看到了与尼弗里姆相关的钴罢工C＆amp; C服务器托管在互联网上的不同群集中。演员们偏好于托管公司在包括保加利亚，英国，美国和荷兰等各国的公司。其他与尼弗林相关的钴罢工C＆amp; C服务器通过各种外壳公司创建的小型防弹网络托管服务托管。一些壳牌公司似乎几乎完全用于托管钴罢工信标C＆amp; CS，大规模的互联网扫描（包括Citrix服务器的扫描以及在一个案例中，用于Tor-Hidden网站的清除网页后端Nefilim演员从受害者中删除了被盗的数据。

我们观察了尼弗林演员使用至少三种不同类型的防弹托管服务：用于泄漏被盗信息，属于小型外壳公司的小型IP范围的TOR-Hidden服务器，以及快速的通量托管（托管正常变化的托管它的IP地址）。

Nefilim是一个妥协的赎金软件，这意味着它通过演员或附属公司手动推出，在他们确定他们对受害者的基础设施充分控制之后。运行后，执行流程非常简单。

首先，Nefilim创建一个相互排除（互斥锁）对象，以防止同一过程的多个线程。然后，它将使用固定的RC4键解密赎金笔记。图2显示了赎金票据的示例，其中包括三个电子邮件地址，受害者可以用来与尼弗里姆演员联系关于赎金支付。

然后，它为其队列加密的每个文件生成一个随机AES密钥。要启用文件解密，以防受害者支付赎金金额，恶意软件将使用固定的RSA公钥加密AES密钥，并将其附加到加密文件。

如果在没有任何问题的情况下推出，Nefilim可执行文件准备加密。在开始之前，它会检查文件和目录名称的排除列表。这可以防止Nefilim加密操作系统需求的文件，并且允许浏览器和电子邮件等常用应用程序继续正常工作。然后，它加密不在排除列表上的文件 - 加密功能是Nefilim代码中的最大功能。

在野外发现了第一个版本后，我们继续监控尼福里姆的活动及其进化。迄今为止，我们在估计的65种不同样品中观察到18种不同的变体。

根据我们收集的信息，奈菲姆样本遵循一致的模式。这表明：

每个受害者获得一个唯一的样本，包括赎金票据，其中包含勒索瓶演员的联系信息以三个电子邮件地址的形式。

当Nefilim作者改变他们使用的证书来签署二进制文件时，它们也会更改添加到加密文件的扩展名。

下表列出了我们观察到的Nefilim Ransomware样本中使用的策略和技术。

尼弗林受害者的个人资料在地理和行业方面相对广泛，但目标往往是收入超过10亿美元的公司。大多数目标都位于北美洲和南美洲，但我们也看到了整个欧洲，亚洲和大洋洲的目标。

我们的数据在尼弗林演员泄露的敏感信息量中显示出稳定和大幅增长。 Nefilim能够将网站与受害者的数据一起保持一年多的数据。众所周知，该集团也已知在几周甚至几个月上发布受害者的敏感数据，其目标是将未来的受害者吓到支付赎金。

我们认为赎金软件演员泄漏敏感数据的主要原因是向未来的受害者发出明确的警告：赎金软件演员将在未支付赎金金额时会造成进一步的危害。例如，臭名昭着的Revil Actors在他们网站上大胆地开始了“拍卖”，为拒绝支付赎金的受害者组织的被盗数据。

我们研究了16个赎金制品演员的RAA站点，发现这些演员如何从受害者敲诈贷款的显着差异。大多数演员声称它们将在几个月内公开掌握被盗的数据。一些演员，如Nefilim和CL0P，以便在线保持被盗数据的Terabytes超过一年，并威胁到随着时间的推移泄漏增加的数据量。如上所述，某些网站上是在Tor-Hidsid Server上，而其他网站则使用防弹主机托管。我们指出，RAAS演员上传被盗文件在商业上可用的和免费文件共享平台上，甚至在清除Web上的网站上的主机文件。

我们相信Nefilim赎金软件从一个名为Nemte的旧家庭演变。基于Nemty和Nefilim之间的代码相似，以及我们认为是类似的商业模式，我们发现版本可能是Nemte收入3.1。是尼弗里姆的第一个版本。

多年来，我们一直在监控恶意赎金软件活动，包括尼弗里姆和Nemte赎金软件后面的演员。具体来说，我们在入侵集“水资源股份”下跟踪了这些勒索家族后面的集团。目前，我们将地下行动者Jsworm和jingo与水资源roc活动联系起来，而两个演员在过去积极销售和支持的人。根据他们的活动在线，两者都被认为是俄语。 Nemty的代码也包含来自几名俄罗斯歌曲和艺术家的歌词。虽然我们无法充分信心地说，这两个演员中的任何一个都仍然积极参与尼弗里姆的运营，但我们确实相信他们至少参与了尼弗里姆的早期发展。

Nefilim工具，策略和流程的细分揭示了关于现代勒索软件的Modus Operandi的重要特点：

我们看到现代赎金瓶附属公司能够通过访问经纪人找到大型企业的方法，管理抵抗大量的有价值数据，然后尽可能多地敲诈受害者。这样的操作是由演进的联盟程序提供支持，该程序为Ransomware演员提供了一个Hefty Arsenal：可定制的软件，新的和易于提供的技术，以获得更好的受害者目标，以及改进的合作途径。

公司和网络监护人必须保持领先于曲线，并为APT级别的赎金软件攻击做好准备，特别是考虑到许多企业存储在其系统中的数据的数量和价值。安全调查人员也有一项艰巨的任务 - 他们必须从多个群体中的行动 - 首先违反网络的入侵者以及将尝试横向移动并货币攻击的小组。由于所涉及的各种组，全杀链条变得更加复杂。

虽然来自这些威胁的屏蔽组织存在挑战和复杂性，但最近的事件表明即使是最先进的恶意软件家庭也可以延续。网络安全也在不断发展，并且总是找到捍卫这些持续威胁的新方法。

喜欢它？将此图表添加到您的网站：1。单击下面的框。 2.按Ctrl + A选择全部。 3.按Ctrl + C复制。 4.将代码粘贴到您的页面（CTRL + V）中。