原文:Meet NEMTY Successor, Nefilim/Nephilim Ransomware
译者:知道创宇404实验室翻译组

现在是一个研究跟踪勒索软件趋势的有趣时机,特别是在过去的一两年里,我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事,但必须将每一个勒索软件感染都视为违规行为,这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍,这尤其复杂。

勒索软件家族,如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例,一旦感染,就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道,但Nephilim是另一个迅速发展的家族,它发起了多起破坏性活动。如果受害者不能“配合”他们的要求,他们就会公布受害者的敏感信息。

概述

Nefilim出现于2020年3月,与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。

NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。

Nefilim和NEMTY的两个主要区别是支付模式,以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱,Nefilim似乎演变为了“Nephilim”,两者在技术上相似,主要区别在于扩展名和加密文件中的工件。

然而,也有情报表明,NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。

从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。

Nephilim加密协议

在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意,Nefilim/Nephilim背后的原始供应商也这样做。

特定的文件使用AES-128加密。此时,使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域,后者已知使用了不同的密钥长度。例如,早期版本的NEMTY使用RSA-8192作为“主密钥”,用于加密目标配置数据和其他密钥(src: Acronis)。

我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外,在早期版本的NEMTY中,处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。

目前,只有Nephilim背后的参与者能够解密受影响的文件。也就是说,没有已知的漏洞或方法来绕过攻击者对加密文件的保护。

感染后的行为

感染后,加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。

在某些情况下,对于Nephilim,“nephilm – decrypt.txt”将只写入~\AppData\Local\VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中,备用桌面映像被写入%temp%,文件名为‘god.jpg’。

字符串,区别特征

Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”,主要是向研究人员和分析人员发送。例如,以下编译器路径可以在这些示例中找到(均在2020年4月7日编译):

b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020

而样本为:

d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3

从2020年3月开始包含对特定AV厂商的额外攻击。

该样本来源于@malwrhunterteam 在3月13号的推文

羞辱策略

Nefilim/Nephilim还威胁说,如果受害者拒绝配合要求,他们将公布敏感信息,这一点在这张典型的Nephilim勒索信中得到了证明。

受害者试图谈判或拒绝付款都属于不遵守规定的范畴。迄今为止,已有两家公司在Nephilim的“shaming”网站(clearnet和基于TOR的网站)上发布。值得注意的是,最初,其网站上列出的所有公司都是石油和能源公司。但是,在2020年4月23日至4月27日期间,该组织又在现场增加了三名受害者。其中一家是另一家大型石油和天然气公司,另外两家则被归类为“服装和时装”和“工程与建筑服务”。

其他多个勒索软件家族也遵循相同的做法,将“基本”勒索软件感染转变为完全(有时是灾难性的)数据泄露。使用该模型的其他知名家族包括Maze、REvil DoppelPaymer、CLOP、Sekhmet,以及最近的Ragnar。我们注意到,Nefilim/Nephilim也是“发誓”在当前新冠疫情大流行期间不攻击医疗实体、非营利组织和其他“关键”实体的家族之一。

结论

保护你的环境免受像Nephilim这样的威胁比以往任何时候都更加重要。为了防止数据丢失和大规模数据泄露的后果,企业必须依赖于一个现代的、受良好维护的、适当调整的、受信任的安全解决方案。预防是这些攻击的关键。即使可以通过解密器、备份或回滚来减轻加密/数据丢失的情况,受害者仍然面临其数据公开发布的问题。我们鼓励我们的客户分析和理解威胁,并采取迅速而适当的行动以防止事故发生。

为了方便起见,我们在下面提供了SHA256和SHA1哈希。

SHA256
8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b
b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953
7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377
b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17
3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5
353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5
5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6
52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea
35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f
7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599
08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641
D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3
B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020

SHA1
4595cdd47b63a4ae256ed22590311f388bc7a2d8
1f594456d88591d3a88e1cdd4e93c6c4e59b746c
6c9ae388fa5d723a458de0d2bea3eb63bc921af7
9770fb41be1af0e8c9e1a69b8f92f2a3a5ca9b1a
e99460b4e8759909d3bd4e385d7e3f9b67aa1242
e53d4b589f5c5ef6afd23299550f70c69bc2fe1c
c61f2cdb0faf31120e33e023b7b923b01bc97fbf
0d339d08a546591aab246f3cf799f3e2aaee3889
bbcb2354ef001f476025635741a6caa00818cbe7
2483dc7273b8004ecc0403fbb25d8972470c4ee4
d87847810db8af546698e47653452dcd089c113e
E94089137a41fd95c790f88cc9b57c2b4d5625ba
Bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4
f246984193c927414e543d936d1fb643a2dff77b
d87847810db8af546698e47653452dcd089c113e

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1201/