尼日利亚攻击者招揽内部员工部署勒索软件

CathyHuang

研究人员发现一个尼日利亚的威胁行为者在试图将一个组织的内部员工变成内部间谍，怂恿他们部署赎金软件，然后获得赎金利润的分成。

Abnormal Security 的研究人员发现并阻止了本月早些时候向其客户发送的一些电子邮件，这些电子邮件向人们保证如果能成功安装 DemonWare 勒索软件，他们将获得 100 万美元的比特币。他们说，这些潜在的攻击者说他们与 DemonWare 勒索软件集团有联系，该集团也被称为黑色王国或 DEMON。

研究人员在周四发表的一份有关该活动的报告中写道：" 在这个最新的活动中，发件人告诉企业雇员，如果他们能够在公司的电脑或 Windows 服务器上部署勒索软件，那么他们将得到 100 万美元的比特币，或 250 万美元赎金的 40% 分成，该员工还被告知他们可以通过物理或远程方式启动勒索软件 "。

DemonWare 是一个位于尼日利亚的勒索软件集团，已经存在了几年时间。该组织最后一次出现是与其他许多威胁行为者一起，针对微软 Exchange 的 ProxyLogon 系列漏洞（CVE-2021-27065）发起的一连串的攻击，这些漏洞是在 3 月份发现的。

攻击的方式

该攻击活动通过电子邮件来寻求员工的帮助安装勒索软件，同时提出如果该员工执行，就支付报酬。它还让收件人（攻击者后来说他们是通过 LinkedIn 找到的）有办法联系到幕后的攻击者。

为了解更多关于威胁行为者和活动的情况，来自 Abnormal Security 的研究人员就这样做了。他们发回了一条信息，表示他们已经查看了该邮件，并询问他们需要做什么来帮助。

研究人员写道：" 半小时后，幕后攻击者回复并重申了最初电子邮件中的内容，随后又问我们是否能够访问我们公司的 Windows 服务器。当然，我们确实可以访问该服务器，所以我们回答说我们可以，并询问该攻击者如何将赎金软件发送给我们。

研究人员继续与威胁者进行了五天的沟通，他们非常配合幕后攻击者的行动。由于研究人员能够与犯罪分子接触，能够更好地了解动机和策略。

一直在改变的攻击方式

在联系上后，攻击者向研究人员发送了两个可执行文件的链接，这些文件可以在文件共享网站 WeTransfer 或 Mega.nz 进行下载。

研究人员指出：" 该文件被命名为 Walletconnect ( 1 ) .exe，根据对该文件的分析，我们能够确认它实际上是勒索软件。"

研究人员说，该威胁攻击者在赎金的数额要求上非常有灵活性。虽然最初的金额是 250 万美元的比特币，但当研究人员说他们为之工作的公司的年收入为 5000 万美元时，该威胁行为者迅速将该金额降至 25 万美元，然后降至 12 万美元。

研究人员说：" 在整个对话过程中，该攻击者反复试图打消我们的任何犹豫，确保我们不会被抓住，因为勒索软件将加密系统中的一切文件。据该攻击者说，这将包括可能存储在服务器上的任何 CCTV（闭路电视）文件。"

通过他们在之前所做的研究的发现，根据在奈拉（尼日利亚货币）交易网站和俄罗斯社交媒体平台网站上发现的信息，他们说，与他们通信的攻击者很可能是尼日利亚人。

总的来说，该实验为研究网络攻击提供了新的素材和背景，可以看到位于尼日利亚的西非威胁者如何在网络犯罪活动中使用社会工程学。

一位安全专家指出，长期以来，网络犯罪和社会工程之间一直存在着模糊的界限， 副总裁蒂姆 - 埃林（Tim Erlin）在谈到这次活动时说：" 这是一个很好的例子，说明这两者是相互交织的。"

他在给 Threatpost 的一封电子邮件中说：" 随着人们在识别和避免网络钓鱼方面变得越来越好，看到攻击者采用新的战术来实现他们的攻击目的应该不足为奇。"

另一位安全专家指出，该攻击活动还揭示了攻击者如何利用内部人员的不满情绪，试图让他们为自己做间谍工作，这也不是第一次见，但可以为勒索软件进入组织的内部网络提供了一种很好的方式。

KnowBe4 的数据驱动防御分析师 Roger Grimes 说：" 勒索软件受害者会尽力追踪勒索软件是如何进入他们的环境的，这一点一直很重要。这是一个很重要的步骤。如果你不弄清楚黑客、恶意软件和勒索软件是如何进入的，你就无法阻止他们尝试反复攻击。"