2020年8月Nefilim勒索软件运营商入侵了SPIE集团,并且透露他们窃取了公司的敏感数据,包括公司的电信服务合同、法律文件、授权书文件等等。
2020年12月美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击,黑客要求公司支付赎金,否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后,黑客泄漏了从 Whirlpool 窃取的数据,其中包括员工福利、住宿要求、医疗信息及其他相关信息。
Nefilim以其双重勒索功能和2020年发起的几个著名攻击而一举成名。Nefilim是著名的勒索软件变种之一,它们在其活动中使用了双重勒索手段。 Nefilim最初于2020年3月被发现,从一开始,它的攻击策略便是威胁要公布受害者的被盗数据,迫使他们支付赎金。除了使用这种策略外,奈非利姆的另一个显着特征是与奈米蒂的相似之处。实际上,它被认为是较早的勒索软件的演进版本。
初始访问的细节分析
初始访问时,Nefilim背后的攻击者利用各种附属机构来传播其恶意软件,这些附属机构会使用各种方法将恶意程序传播出去。根据以前的攻击分析,Nefilim很大程度上是通过暴露的RDP恶意注入到系统。一些附属机构还使用其他已知的漏洞进行初始访问,这已经得到了初始验证,从这些初始分析中我们发现了攻击者使用Citrix漏洞(CVE-2019-19781)进入系统。
2019年年底,Citrix ADC和Citrix Gateway被曝出存在远程代码执行的高危漏洞CVE-2019-19781,该漏洞最吸引人的地方在于,未授权的攻击者可以利用它入侵控制Citrix设备,并实现进一步的内网资源访问获取。
人们还看到Nefilim使用party工具收集包括Mimikatz、LaZagne和NirSoft的NetPass在内的证书,被盗的凭证被用来攻击服务器等价值较高的设备。
一旦进入受害者系统,勒索软件就开始删除并执行其组件,如杀毒软件和渗透工具以及Nefilim本身。
网络上的横向运动
攻击者利用几种合法的工具进行横向移动,例如,它使用PsExec或Windows Management Instrumentation (WMI)进行横向移动、删除和执行包括勒索软件本身在内的其他组件。据观察,Nefilim使用批处理文件来终止某些流程和服务。它甚至使用PC Hunter,Process Hacker和Revo Uninstaller等第三方工具来终止与杀毒软件相关的进程、服务和应用程序,它还使用了AdFind、BloodHound或SMBTool来识别连接到域的活动目录或设备。
盗取数据的细节
最近的勒索软件变种的一个显著特点是它们的数据盗取能力变得越来越强。对Nefilim来说,可以观察到从服务器或共享目录复制数据到本地目录,并使用7-Zip对这些数据进行归档,然后它使用MEGAsync来窃取这些数据。
缓解措施
研究人员发现对于类似于Nefilim的攻击,它们在最初的访问和横向移动期间花费的时间成本很大。然而,一旦横向移动开始,攻击者就会迅速行动。他们会优先在主机之间移动和窃取数据。因此,企业可以考虑限制在横向移动阶段可以利用的计算机数量。这涉及到一些解决方案,如尽可能利用双因素身份验证(2FA)、实现应用程序安全列表和实施最低权限等安全性策略。
至于如何防御系统免受Nefilim威胁,最佳做法仍然是防御。最好是在防御上工作,以防止横向移动类似的攻击。组织应该考虑使用基于canary文件(Canary文件类型能够快速识别出感染的发生,有助于抑制勒索软件)的监控、加密监视和进程终止。其他需要的最佳安全措施包括:
1.避免打开未经验证的电子邮件或点击它们嵌入的链接,因为这些可能会启动勒索软件的安装进程。
2.使用3-2-1规则备份你的重要文件。3份备份除了原有的副本,你应该始终让你的重要数据有两个额外的备份副本,无论是存储在服务器,网络附加存储,硬盘驱动器,在云中或其他地方。这将确保不会发生一次单一的事件而毁掉所有重要数据的情况。2种格式:3-2-1规则的第二定律指出,你应该将数据的副本以至少两种不同的媒介或存储类型保存。这可能包括一个内部驱动器,以及外部媒介,如磁盘、磁带、闪存、以及网络存储或云存储。1份异地备份:将至少一份备份存储在异地是保证数据免于受到类似火灾,水灾或盗窃等物理灾难损害的必要措施。当您已经对您重要的数据创建了多个副本之后,保存初始原件的完整性就显得异常重要,否则有该原件所备份的每个副本都会有相同的缺陷。
3.定期更新软件、程序和应用程序,以确保您的应用程序是最新的,并具有针对新漏洞的最新保护措施。
本文翻译自:https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html如若转载,请注明原文地址。