2020年8月Nefilim勒索软件运营商入侵SPIE该集团还透露,他们窃取了公司的敏感数据,包括电信服务合同、法律文件、授权文件等。
202012月,美国家电跨国公司Whirlpool受到了Nefilim勒索软件攻击,黑客要求公司支付赎金,否则盗窃数据将被泄露。Whirlpool公司高管谈判失败后,黑客泄露了 Whirlpool 窃取的数据包括员工福利、住宿要求、医疗信息等相关信息。
Nefilim以其双重勒索功能和2020年发起的几次著名攻击而闻名。Nefilim它是著名的勒索软件变种之一,在其活动中使用双重勒索手段。Nefilim最初是在2020年3月发现的,从一开始,它的攻击策略就是威胁要公布受害者的盗窃数据,迫使他们支付赎金。除了使用这种策略,奈非利姆的另一个显著特征是与奈米蒂的相似之处。事实上,它被认为是早期勒索软件的演变版本。
分析初始访问的细节
初始访问时,Nefilim背后的攻击者使用各种附属机构传播恶意软件,它们使用各种 *** 传播恶意程序。根据之前的攻击分析,Nefilim很大程度上是通过暴露的RDP恶意注入到系统。一些附属机构还使用其他已知的漏洞进行初始访问,这已经得到了初始验证,从这些初始分析中我们发现了攻击者使用Citrix漏洞(CVE-2019-19781)进入系统。
2019年年底,Citrix ADC和Citrix Gateway远程代码执行的高风险漏洞被曝光CVE-2019-19781,这个漏洞最吸引人的是,未经授权的攻击者可以使用它的入侵控制Citrix实现内网资源的进一步访问和获取。
人们还看到Nefilim使用party包括工具收集Mimikatz、LaZagne和NirSoft的NetPass在证书中,被盗的证书被用来攻击更有价值的设备,如服务器。
一旦进入受害者系统,勒索软件开始删除和执行其组件,如杀毒软件、渗透工具和Nefilim本身。
*** 上的横向运动
攻击者利用几种合法的工具进行横向移动,例如,它使用PsExec或Windows Management Instrumentation (WMI)水平移动、删除和执行其他组件,包括勒索软件本身。据观察,Nefilim使用批处理文件终止某些流程和服务。它甚至使用它PC Hunter,Process Hacker和Revo Uninstaller它还使用了第三方工具来终止与杀毒软件相关的过程、服务和应用程序AdFind、BloodHound或 *** *** ool识别连接到域的活动目录或设备。
窃取数据的细节
最近勒索软件变种的一个显著特点是数据窃取能力越来越强。Nefilim从服务器或共享目录到本地目录可以观察到复制数据并使用它7-Zip归档这些数据,然后使用它MEGAsync窃取这些数据。
缓解措施
研究人员发现类似Nefilim攻击,他们在最初的访问和水平移动中花费了大量的时间。然而,一旦水平移动开始,攻击者就会迅速移动。他们将优先考虑在主机之间移动和窃取数据。因此,企业可以考虑限制水平移动阶段可用的计算机数量。这涉及到一些解决方案,如尽可能使用双因素身份验证(2FA)、实现安全策略,如应用程序安全列表和更低权限。
至于如何防御系统免受Nefilim威胁,更好的 *** 仍然是防御。更好在防御上工作,以防止类似的横向攻击。组织应考虑使用canary文件(Canary文件类型可以快速识别感染的发生,有助于抑制勒索软件)的监控、加密监控和过程终止。其他更佳安全措施包括:
1.避免打开未经验证的电子邮件或点击嵌入的链接,因为这些可能会启动勒索软件的安装过程。
2.使用3-2-1规则备份你的重要文件。除了原始副本外,您应该始终为您的重要数据提供两个额外的备份副本,无论是存储在服务器、 *** 附加存储、硬盘驱动器、云中还是其他地方。这将确保所有重要数据不会被单一事件摧毁。两种格式:3-2-1该规则的第二定律指出,您应该保存至少两种不同的媒体或存储类型的数据副本。这可能包括一个内部驱动器和一个外部媒体,如磁盘、磁带、闪存、 *** 存储或云存储。备份:将至少一份备份存储在不同的地方是确保数据不受火灾、洪水或盗窃等物理灾难的损坏的必要措施。当您为您的重要数据创建多个副本时,保存初始原件的完整性非常重要,否则份的每个副本都会有相同的缺陷。
3.定期更新软件、程序和应用程序,以确保您的应用程序是最新的,并对新漏洞采取最新的保护措施。
本文翻译自:https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html若转载,请注明原文地址。