黑客以百万美元赎金分红利诱员工,意图在企业内部植入勒索软件

黑客发动勒索软件攻击的方式,除了借由网络攻击来入侵企业,也可能串通对公司的员工来进行,而无需对付企业对外的安全防护系统。例如,2020年8月美国司法部公布,他们破获有俄罗斯人企图买通特斯拉员工,在特斯拉内部植入勒索软件未果,该公司创办人暨首席执行官Elon Musk证实此事时,也认为这是“计划完备的攻击行动”。

但除了这种锁定特定公司发动攻击的事故,也有来自尼日尔利亚的黑客直接发送电子邮件,想要勾结可能对公司有怨言的员工来犯案。邮件安全公司Abnormal Security于8月12日,拦截一批发送给该公司用户的可疑电子邮件,寄件者宣称是与DemonWare勒索软件相关人士,要求收信人参与他们的攻击计划,在公司内部植入勒索软件,假若勒索成功,收信人将能得到高额的报酬。

这些电子邮件的内容提及,收信人只要能够在任何公司里的主要Windows服务器中,安装并启动DemonWare,寄件者将会给予40%的报酬,相当于价值100万美元的比特币(代表可以收到的赎金为250万美元)。寄件者留下了电子邮件信箱与Telegram账号,供收信人与他们联系,行径可说是相当明目张胆。

一般来说,勒索软件黑客会通过电子邮件的渠道入侵,手法通常是借由社交工程,发送带有勒索软件等作案工具的钓鱼信件,诱使收件人打开附件文件,进而在公司网络环境感染勒索软件。但这种想要利诱员工来对公司攻击的方法,Abnormal Security认为相当值得留意,因为这样的手法可能难以通过安全防护系统拦截。

对此,研究人员谎称成一家虚构公司的员工,依据信里的联系资料,通过Telegram联系寄件人,经由与对方讨论长达5天的过程,而对攻击者有了进一步的了解。

当他们联系这名黑客并表明来意之后,对方很快就提供了勒索软件的下载连接──黑客将文件存放在Mega与WeTransfer云计算硬盘里,文件名称是Walletconnect (1).exe。研究人员分析后,证实这个文件确实是勒索软件。

接下来,研究人员与黑客谈论这起“攻击行动”的其他细节。首先是赎金的部分,根据信件里提及收件者的报酬,攻击者打算勒索250万美元,但这名黑客很快就降低至25万美元。后来,研究人员向他宣称,所属公司的年营收是5千万美元,对方又再度调整赎金为12万美元。

在对话的过程中,黑客再三承诺研究人员不会被公司抓到,因为该勒索软件会加密受害计算机的所有资料,黑客宣称,若是服务器里存放了闭路电视(CCTV)的文件,也同样无法逃过被加密的命运。

而对于攻击行动的操作,黑客也指示研究人员,在执行完勒索软件之后必须删除,并且文件也要从资源回收筒清除。根据对话的内容,Abnormal Security认为,这名黑客希望员工能实体访问受害服务器,而且不甚了解数字鉴识与事件回应调查,可能采集到的证据。

勒索软件Demonware也被称为Black Kingdom,其实是开放源码的项目,文件可在GitHub取得,该项目发起人的动机,是要突显制作勒索软件的难度不高。但攻击者宣称,他是使用Python编译这款勒索软件。Abnormal Security认为文件是来自上述GitHub项目的原因,在于黑客提供的勒索消息截屏,几乎与该项目提供的截屏一致,仅有少部分消息有所调整。

根据左图黑客提供给研究人员的勒索消息截屏,以及右图DemonWare项目的勒索消息截屏范例,我们可以发现勒索消息内容差不多,甚至联名名也一样,下方时间倒数的部分,也都是文本左右配置了警示标志。

究竟黑客如何得到攻击目标的联系信息?这名黑客宣称是通过LinkedIn收集而得,原本打算对于所有高端主管发动钓鱼邮件攻击,但在攻击没有成功之后,他改以向收件人合作发动勒索软件的名义,发送相关信件。

到底这名黑客的身份为何?Abnormal Security根据他们收集的情报,再加上这名黑客表明他就在尼日尔利亚,研究人员认为这起攻击行动出自尼日尔利亚的黑客。

疫情当前,人们普遍收入减少的情况下,黑客祭出百万美元利诱,难保不会有员工因此铤而走险出卖公司。而针对这样的情况,企业要如何强化相关防护,来应对这样的态势?可能就是接下来需要思考的问题。

发表评论