8月19日,Abnormal Security发布报告称:“发件人告诉公司员工,如果他们能够在公司计算机或Windows服务器上部署勒索软件,就可以收到价值100万美元的比特币,即250万美元赎金的40%。雇员被告知:勒索软件可以物理启动或远程启动。如果员工感兴趣的话,发件人还提供了两种联系方式:Outlook邮件账户和Telegram用户名。”
Black Kingdom又名DemonWare和DEMON,今年3月初就引起了安全界的注意,当时黑客利用影响微软Exchange服务器的ProxyLogon缺陷往未打补丁的系统上植入此勒索软件。
Abnormal Security在8月12日检测并阻止了网络钓鱼邮件,通过创建虚拟人物回应了招募,并在Telegram Messenger上联系了黑客,使其无意中泄露了攻击手法,其中包括两个可执行勒索软件载荷的下载链接,可供“雇员”通过WeTransfer或Mega.nz下载。
Abnormal Security威胁情报总监Crane Hassold称:“黑客还指示我们处理.EXE文件,将其从回收站中删除。根据黑客的回复,我们明显可以看出,1)他希望雇员能够物理接触服务器,2)他不太熟悉数字取证或事件响应调查。”
除了赎金要求十分灵活,据说该计划还是由尼日利亚拉各斯一家名为Sociogram的社交网络初创公司的首席执行官炮制的,目的是利用抽走的资金“建立我自己的公司”。在五天时间的聊天过程中,那人甚至称自己是“下一个马克·扎克伯格”。
需要特别指出的还有使用LinkedIn收集高管企业电子邮件地址的方法,这种方法再一次凸显出源自尼日利亚的商务电邮入侵(BEC)攻击如何继续演变,怎样使企业暴露在勒索软件等复杂攻击风险之下。
Tripwire产品管理与策略副总裁Tim Erlin称:“网络攻击与社会工程之间的界限总是十分模糊,整个案例正好体现了二者是如何交织的。随着用户越来越善于识别和规避网络钓鱼,看到攻击者采用新战术来实现其目标也就不足为奇了。”
“将心怀不满的内部人员视为网络安全威胁的想法不是新进冒出的。只要企业需要员工,就总存在内部人风险。分得一份赎金的承诺可能看上去很诱人,但这种共谋行为能够实际获得回报的保证几乎为零,而且接受攻击者报价的人也极有可能被抓住。”