研究人員發(fā)現(xiàn)一個尼日利亞的威脅行為者在試圖將一個組織的內部員工變成內部間諜，慫恿他們部署贖金軟件，然后獲得贖金利潤的分成。

Abnormal Security的研究人員發(fā)現(xiàn)并阻止了本月早些時候向其客戶發(fā)送的一些電子郵件，這些電子郵件向人們保證如果能成功安裝DemonWare勒索軟件，他們將獲得100萬美元的比特幣。他們說，這些潛在的攻擊者說他們與DemonWare勒索軟件集團有聯(lián)系，該集團也被稱為黑色王國或DEMON。

研究人員在周四發(fā)表的一份有關該活動的報告中寫道："在這個最新的活動中，發(fā)件人告訴企業(yè)雇員，如果他們能夠在公司的電腦或Windows服務器上部署勒索軟件，那么他們將得到100萬美元的比特幣，或250萬美元贖金的40%分成，該員工還被告知他們可以通過物理或遠程方式啟動勒索軟件"。

DemonWare是一個位于尼日利亞的勒索軟件集團，已經(jīng)存在了幾年時間。該組織最后一次出現(xiàn)是與其他許多威脅行為者一起，針對微軟Exchange的ProxyLogon系列漏洞(CVE-2021-27065)發(fā)起的一連串的攻擊，這些漏洞是在3月份發(fā)現(xiàn)的。

攻擊的方式

該攻擊活動通過電子郵件來尋求員工的幫助安裝勒索軟件，同時提出如果該員工執(zhí)行，就支付報酬。它還讓收件人(攻擊者后來說他們是通過LinkedIn找到的)有辦法聯(lián)系到幕后的攻擊者。

為了解更多關于威脅行為者和活動的情況，來自Abnormal Security的研究人員就這樣做了。他們發(fā)回了一條信息，表示他們已經(jīng)查看了該郵件，并詢問他們需要做什么來幫助。

研究人員寫道："半小時后，幕后攻擊者回復并重申了最初電子郵件中的內容，隨后又問我們是否能夠訪問我們公司的Windows服務器。當然，我們確實可以訪問該服務器，所以我們回答說我們可以，并詢問該攻擊者如何將贖金軟件發(fā)送給我們。

研究人員繼續(xù)與威脅者進行了五天的溝通，他們非常配合幕后攻擊者的行動。由于研究人員能夠與犯罪分子接觸，能夠更好地了解動機和策略。

一直在改變的攻擊方式

在聯(lián)系上后，攻擊者向研究人員發(fā)送了兩個可執(zhí)行文件的鏈接，這些文件可以在文件共享網(wǎng)站W(wǎng)eTransfer或Mega.nz進行下載。

研究人員指出："該文件被命名為 Walletconnect (1).exe，根據(jù)對該文件的分析，我們能夠確認它實際上是勒索軟件。”

研究人員說，該威脅攻擊者在贖金的數(shù)額要求上非常有靈活性。雖然最初的金額是250萬美元的比特幣，但當研究人員說他們?yōu)橹ぷ鞯墓镜哪晔杖霝?000萬美元時，該威脅行為者迅速將該金額降至25萬美元，然后降至12萬美元。

研究人員說："在整個對話過程中，該攻擊者反復試圖打消我們的任何猶豫，確保我們不會被抓住，因為勒索軟件將加密系統(tǒng)中的一切文件。據(jù)該攻擊者說，這將包括可能存儲在服務器上的任何CCTV(閉路電視)文件。"

通過他們在之前所做的研究的發(fā)現(xiàn)，根據(jù)在奈拉(尼日利亞貨幣)交易網(wǎng)站和俄羅斯社交媒體平臺網(wǎng)站上發(fā)現(xiàn)的信息，他們說，與他們通信的攻擊者很可能是尼日利亞人。

總的來說，該實驗為研究網(wǎng)絡攻擊提供了新的素材和背景，可以看到位于尼日利亞的西非威脅者如何在網(wǎng)絡犯罪活動中使用社會工程學。

一位安全專家指出，長期以來，網(wǎng)絡犯罪和社會工程之間一直存在著模糊的界限， 副總裁蒂姆-埃林(Tim Erlin)在談到這次活動時說："這是一個很好的例子，說明這兩者是相互交織的。”

他在給Threatpost的一封電子郵件中說："隨著人們在識別和避免網(wǎng)絡釣魚方面變得越來越好，看到攻擊者采用新的戰(zhàn)術來實現(xiàn)他們的攻擊目的應該不足為奇。”

另一位安全專家指出，該攻擊活動還揭示了攻擊者如何利用內部人員的不滿情緒，試圖讓他們?yōu)樽约鹤鲩g諜工作，這也不是第一次見，但可以為勒索軟件進入組織的內部網(wǎng)絡提供了一種很好的方式。

KnowBe4的數(shù)據(jù)驅動防御分析師Roger Grimes說："勒索軟件受害者會盡力追蹤勒索軟件是如何進入他們的環(huán)境的，這一點一直很重要。這是一個很重要的步驟。如果你不弄清楚黑客、惡意軟件和勒索軟件是如何進入的，你就無法阻止他們嘗試反復攻擊。"

本文翻譯自：https://threatpost.com/nigerian-solicits-employees-ransomware-profits/168849/如若轉載，請注明原文地址。