研究人員發現一個尼日利亞的威脅行為者在試圖將一個組織的內部員工變成內部間諜，慫恿他們部署贖金軟件，然后獲得贖金利潤的分成。

Abnormal Security的研究人員發現并阻止了本月早些時候向其客戶發送的一些電子郵件，這些電子郵件向人們保證如果能成功安裝DemonWare勒索軟件，他們將獲得100萬美元的比特幣。他們說，這些潛在的攻擊者說他們與DemonWare勒索軟件集團有聯系，該集團也被稱為黑色王國或DEMON。

研究人員在周四發表的一份有關該活動的報告中寫道："在這個最新的活動中，發件人告訴企業雇員，如果他們能夠在公司的電腦或Windows服務器上部署勒索軟件，那么他們將得到100萬美元的比特幣，或250萬美元贖金的40%分成，該員工還被告知他們可以通過物理或遠程方式啟動勒索軟件"。

DemonWare是一個位于尼日利亞的勒索軟件集團，已經存在了幾年時間。該組織最后一次出現是與其他許多威脅行為者一起，針對微軟Exchange的ProxyLogon系列漏洞(CVE-2021-27065)發起的一連串的攻擊，這些漏洞是在3月份發現的。

攻擊的方式

該攻擊活動通過電子郵件來尋求員工的幫助安裝勒索軟件，同時提出如果該員工執行，就支付報酬。它還讓收件人(攻擊者后來說他們是通過LinkedIn找到的)有辦法聯系到幕后的攻擊者。

為了解更多關于威脅行為者和活動的情況，來自Abnormal Security的研究人員就這樣做了。他們發回了一條信息，表示他們已經查看了該郵件，并詢問他們需要做什么來幫助。

研究人員寫道："半小時后，幕后攻擊者回復并重申了最初電子郵件中的內容，隨后又問我們是否能夠訪問我們公司的Windows服務器。當然，我們確實可以訪問該服務器，所以我們回答說我們可以，并詢問該攻擊者如何將贖金軟件發送給我們。

研究人員繼續與威脅者進行了五天的溝通，他們非常配合幕后攻擊者的行動。由于研究人員能夠與犯罪分子接觸，能夠更好地了解動機和策略。

一直在改變的攻擊方式

在聯系上后，攻擊者向研究人員發送了兩個可執行文件的鏈接，這些文件可以在文件共享網站WeTransfer或Mega.nz進行下載。

研究人員指出："該文件被命名為 Walletconnect (1).exe，根據對該文件的分析，我們能夠確認它實際上是勒索軟件。”

研究人員說，該威脅攻擊者在贖金的數額要求上非常有靈活性。雖然最初的金額是250萬美元的比特幣，但當研究人員說他們為之工作的公司的年收入為5000萬美元時，該威脅行為者迅速將該金額降至25萬美元，然后降至12萬美元。

研究人員說："在整個對話過程中，該攻擊者反復試圖打消我們的任何猶豫，確保我們不會被抓住，因為勒索軟件將加密系統中的一切文件。據該攻擊者說，這將包括可能存儲在服務器上的任何CCTV(閉路電視)文件。"

通過他們在之前所做的研究的發現，根據在奈拉(尼日利亞貨幣)交易網站和俄羅斯社交媒體平臺網站上發現的信息，他們說，與他們通信的攻擊者很可能是尼日利亞人。

總的來說，該實驗為研究網絡攻擊提供了新的素材和背景，可以看到位于尼日利亞的西非威脅者如何在網絡犯罪活動中使用社會工程學。

一位安全專家指出，長期以來，網絡犯罪和社會工程之間一直存在著模糊的界限， 副總裁蒂姆-埃林(Tim Erlin)在談到這次活動時說："這是一個很好的例子，說明這兩者是相互交織的。”

他在給Threatpost的一封電子郵件中說："隨著人們在識別和避免網絡釣魚方面變得越來越好，看到攻擊者采用新的戰術來實現他們的攻擊目的應該不足為奇。”

另一位安全專家指出，該攻擊活動還揭示了攻擊者如何利用內部人員的不滿情緒，試圖讓他們為自己做間諜工作，這也不是第一次見，但可以為勒索軟件進入組織的內部網絡提供了一種很好的方式。

KnowBe4的數據驅動防御分析師Roger Grimes說："勒索軟件受害者會盡力追蹤勒索軟件是如何進入他們的環境的，這一點一直很重要。這是一個很重要的步驟。如果你不弄清楚黑客、惡意軟件和勒索軟件是如何進入的，你就無法阻止他們嘗試反復攻擊。"

本文翻譯自：https://threatpost.com/nigerian-solicits-employees-ransomware-profits/168849/如若轉載，請注明原文地址。