信息來(lái)源：Freebuf

勒索病毒已經(jīng)被公認(rèn)成為企業(yè)最大的安全威脅，通過(guò)近幾個(gè)月時(shí)間的監(jiān)控，2020年針對(duì)企業(yè)或個(gè)人的勒索病毒攻擊已經(jīng)變的越來(lái)越頻繁，同時(shí)隨著新冠疫情的影響，一些勒索病毒黑客組織甚至將目標(biāo)鎖定為一些醫(yī)療衛(wèi)生機(jī)構(gòu)，以謀取最大的利潤(rùn)，2020年勒索病毒黑客組織從未停止過(guò)運(yùn)營(yíng)，在不斷更新自己的攻擊手法、變種樣本和運(yùn)營(yíng)模式，NEMTY勒索病毒最近宣布關(guān)閉公共RAAS服務(wù)平臺(tái)操作，轉(zhuǎn)變?yōu)槔账鞑《痉?wù)私有化模式

NEMTY勒索病毒是一款新型的流行勒索病毒，首次發(fā)現(xiàn)于2019年8月21號(hào)，8月24號(hào)國(guó)外安全研究人員公布了些勒索病毒的相關(guān)信息，筆者在第一時(shí)間對(duì)此勒索病毒1.0版本病毒樣本進(jìn)行了詳細(xì)分析，在隨后幾個(gè)月的發(fā)展過(guò)程中，此勒索病毒從最開始的1.0版本發(fā)展到了最新的3.1版本，期間經(jīng)歷了1.0，1.4，1.5，1.6，2.0，2.3，2.4，2.5等各種不同的變種版本，此前NEMTY勒索病毒一直在公共的RAAS平臺(tái)進(jìn)行分發(fā)，該平臺(tái)由勒索病毒運(yùn)營(yíng)商負(fù)責(zé)開發(fā)勒索病毒和付款站點(diǎn)，勒索病毒運(yùn)營(yíng)商獲得30%的利潤(rùn)，平臺(tái)上的會(huì)員可獲得他們帶來(lái)的勒索款項(xiàng)的70%利潤(rùn)，近期NEMTY勒索病毒運(yùn)營(yíng)商發(fā)表聲明，決定關(guān)閉其公共的RAAS操作平臺(tái)服務(wù)，切換為私有化服務(wù)，這種私有化運(yùn)營(yíng)服務(wù)，將根據(jù)其會(huì)員的專業(yè)知識(shí)進(jìn)行篩選，導(dǎo)致后面并不是所有人都可以通過(guò)RAAS平臺(tái)購(gòu)買和傳播勒索病毒，勒索病毒運(yùn)營(yíng)組織將會(huì)對(duì)購(gòu)買人員專業(yè)知識(shí)進(jìn)行篩選，這種私有化的服務(wù)方式會(huì)不會(huì)成為2020年勒索病毒黑客組織的一種新的發(fā)展趨勢(shì)?此前基于公共RAAS平臺(tái)服務(wù)的流行勒索病毒Globelmposter，CrySiS，Phobos，Sodinokibi等會(huì)不會(huì)后期也會(huì)關(guān)閉其公共的RAAS服務(wù)，轉(zhuǎn)化為私有化服務(wù)

筆者跟蹤到一款最新的NEMTY勒索病毒變種，此勒索病毒最新變種版本為3.1，加密后的文件，如下所示：

勒索病毒勒索提示信息內(nèi)容，如下所示：

逆向分析NEMTY3.1勒索病毒的相關(guān)代碼，如下所示：

可以發(fā)現(xiàn)NEMTY3.1版本的代碼結(jié)構(gòu)與NEMTY2.5版本的代碼結(jié)構(gòu)不一樣，因?yàn)镹EMTY勒病毒黑客組織對(duì)NEMTY3.1版本的代碼進(jìn)行了重構(gòu)，如下所示：

同時(shí)NEMTY2.5版本的代碼已經(jīng)被改裝成一款新型的勒索病毒Nefilim，可能是因?yàn)檫@個(gè)新型勒索病毒黑客組織購(gòu)買了NEMTY2.5版本的源代碼，同時(shí)這個(gè)新型的勒索病毒組織還宣稱不會(huì)以醫(yī)院、非營(yíng)利組織、學(xué)?；蛘块T作為目標(biāo)，在隨后的發(fā)展，這款勒索病毒迅速出現(xiàn)了另一個(gè)新的變種Nephilim

NEMTY勒索病毒此前主要在韓國(guó)等東南亞地區(qū)國(guó)家比較流行，最新的這款勒索病毒變種竟然冒充了比較流行的一款惡意軟件BUER Loader的泄露版進(jìn)行傳播，如下所示：

BUER Loader是一款近期在地下黑客論壇非常流行的惡意軟件，這款惡意軟件是一款木馬下載器，首次于2019年8月被Proofpoint安全研究人員追蹤并公布，隨后在9月和10月的多次惡意軟件攻擊活動(dòng)中被利用，這款惡意軟件是使用C和.NET Core編寫的客戶端和服務(wù)器，下載程序是使用純C語(yǔ)言開發(fā)，控制面板使用.NET Core編寫，使得它的性能得到了優(yōu)化，下載占用空間小，并且能輕松地在Linux服務(wù)器上安裝控制面板，同時(shí)因?yàn)槠鋬?nèi)置對(duì)Docker容器的支持進(jìn)一步促進(jìn)了其在用于惡意目的的租用主機(jī)及受感染主機(jī)上的擴(kuò)散，此前這款新型的下載器在各種黑客論壇進(jìn)行銷售，售價(jià)為400美元，筆者發(fā)現(xiàn)有人在某黑客論壇發(fā)布了這款勒索病毒的泄露版，如下所示：

由于論壇需要高級(jí)會(huì)員才能下載到這款下載器的Cracked+Builder版本，所以不知道這個(gè)是不是就是筆者捕獲的這款NEMTY勒索病毒最新版本，不過(guò)下面已經(jīng)有人回復(fù)了，如下所示：

后面版主又回復(fù)說(shuō)不是勒索病毒，然后還看到其它會(huì)員表示感謝之類的，通過(guò)發(fā)布的鏈接可以得知在論壇上發(fā)布的這款下載器程序，如下所示：

上面顯示作者為Builder by 0xx0ByteNax，與筆者跟蹤到的NEMTY勒索病毒使用的名字是一樣的，而且勒索病毒也采用了BUER Loader下載器的圖標(biāo)，通過(guò)從上面的追蹤可以發(fā)現(xiàn)肯定是有人在RAAS平臺(tái)購(gòu)買了這款勒索病毒的最新變種樣本，然后再通過(guò)這種方式在黑客論壇或聊天群等地方進(jìn)行傳播，這是一種典型的黑吃黑行為，其實(shí)這種黑吃黑行為并就不是第一次被發(fā)現(xiàn)，之前就已經(jīng)發(fā)現(xiàn)一些惡意軟件會(huì)通過(guò)破解或泄露版黑客工具和程序進(jìn)行傳播，如果使用這些破解程序的黑客不清楚這些破解程序是不是帶有后門或捆綁其他惡意軟件等，就可能會(huì)被其它的黑客組織控制和利用，然后導(dǎo)致自己的數(shù)據(jù)被其他黑客組織盜取，從而被黑吃黑。

2020年勒索病毒攻擊已經(jīng)呈現(xiàn)一種爆發(fā)的趨勢(shì)，各個(gè)勒索病毒的黑客組織都在積極更新自己的勒索病毒樣本和運(yùn)營(yíng)模式，由于通過(guò)勒索病毒攻擊獲利的黑客組織越來(lái)越多，這些勒索病毒黑客組織之間的競(jìng)爭(zhēng)也越來(lái)越大，全球經(jīng)濟(jì)由于新冠疫情的影響，很多行業(yè)都受到了影響，2020年注定是非常艱難的一年，黑客組織正在試圖通過(guò)改變運(yùn)營(yíng)方式來(lái)最大限度的獲取暴利，其中這種關(guān)閉公共RAAS平臺(tái)服務(wù)的方式，可以讓其能招募更加有經(jīng)驗(yàn)的惡意軟件開發(fā)人員，同時(shí)也是為了讓勒索病毒運(yùn)營(yíng)團(tuán)隊(duì)更專注于有利可圖的攻擊，防止一些非專業(yè)人士的操作，不斷沒(méi)有獲取到利潤(rùn)，反而導(dǎo)致一些泄露信息的行為，NEMTY勒索病毒運(yùn)營(yíng)組織已經(jīng)宣布以后勒索病毒的主解密密鑰也不會(huì)在公共的RAAS平臺(tái)上進(jìn)行公布

通過(guò)NEMTY勒索病毒黑客組織關(guān)閉其公共RAAS服務(wù)，可以預(yù)測(cè)未來(lái)勒索病毒黑客組織會(huì)更注重專業(yè)程度的黑客攻擊行為，這樣他們可以通過(guò)更有針對(duì)性的攻擊行為，使勒索病毒帶來(lái)更多的收入，這其實(shí)就是一個(gè)市場(chǎng)行為，當(dāng)一個(gè)行為出現(xiàn)很多相同的競(jìng)爭(zhēng)對(duì)手的時(shí)候，就只能提高行業(yè)的專業(yè)程度和服務(wù)水平，然后通過(guò)“大魚吃小魚”干掉吞并掉其他組織，這樣專業(yè)的勒索病毒黑客組織可以獲利更多的利潤(rùn)，其實(shí)早前Sodinokibi勒索病毒黑客組織就已經(jīng)在全球范圍內(nèi)招募高級(jí)的惡意軟件開發(fā)人員，可見(jiàn)現(xiàn)在全球的勒索病毒黑客組織內(nèi)部競(jìng)爭(zhēng)非常激烈，甚至有一些行業(yè)內(nèi)幕和規(guī)則，地理位置的劃分等，同時(shí)由于挖礦等產(chǎn)業(yè)的不景氣，BTC現(xiàn)在已經(jīng)很難被挖到，Sodinokbi勒索病毒團(tuán)隊(duì)現(xiàn)在已經(jīng)開始使用門羅幣進(jìn)行交易，以提高贖金支付比率，更多的黑客組織也將自身的產(chǎn)業(yè)轉(zhuǎn)向了勒索病毒產(chǎn)業(yè)，從2020年開始，不僅僅安全廠商競(jìng)爭(zhēng)會(huì)越來(lái)越激烈，全球的黑客組織也會(huì)開始競(jìng)爭(zhēng)，未來(lái)安全廠商會(huì)不斷的創(chuàng)新，提供更好的安全服務(wù)，黑客組織也會(huì)不斷改進(jìn)自己的MAAS平臺(tái)，以便向客戶更好的提供他們需要的惡意軟件，更加具有專業(yè)性和多功能化模塊集成，使得黑客攻擊行為更加具有針對(duì)性，提供更多的黑客服務(wù)，攻擊獲利的機(jī)會(huì)也會(huì)變大，未來(lái)基于惡意軟件MAAS的私有化服務(wù)可能也會(huì)成為黑客組織一個(gè)新的發(fā)展趨勢(shì)

筆者多年來(lái)一直在跟蹤全球的各種黑客組織的攻擊行為，現(xiàn)在各種惡意軟件真的無(wú)處不在，不斷有新的惡意軟件家族和變種出現(xiàn)，很多具有國(guó)家政府背景的黑客組織都在不斷努力研發(fā)自己的新型惡意軟件，這些惡意軟件包含勒索病毒、下載器、后門、竊密軟件、僵尸網(wǎng)絡(luò)、銀行木馬、挖礦木馬等等，這些類型的惡意軟件都是可以直接帶來(lái)經(jīng)濟(jì)效益和達(dá)到攻擊效果的惡意軟件，同時(shí)勒索病毒已經(jīng)不僅僅是一些黑客組織獲取暴利的手段，現(xiàn)在已經(jīng)變成了國(guó)與國(guó)之間進(jìn)行網(wǎng)絡(luò)攻擊的高端武器，朝鮮政府的黑客組織開發(fā)并在全球范圍內(nèi)部置了各種惡意軟件，這些惡意軟件也越來(lái)越復(fù)雜化，利用這些惡意軟件發(fā)起網(wǎng)絡(luò)攻擊活動(dòng)，通過(guò)這些網(wǎng)絡(luò)攻擊活動(dòng)竊取的錢財(cái)利益已經(jīng)高達(dá)到20億美元，利用惡意軟件從全球金融機(jī)構(gòu)和數(shù)字貨幣交易所盜竊資金，美國(guó)政府最近提供最高達(dá)500萬(wàn)美元的懸賞給任何能夠提供“朝鮮在網(wǎng)絡(luò)空間進(jìn)行非法活動(dòng)的信息”的人，同時(shí)美國(guó)認(rèn)為朝鮮已經(jīng)形成強(qiáng)有力的軍事級(jí)別的網(wǎng)絡(luò)攻擊能力。

事實(shí)上全球很多國(guó)家都有自己的網(wǎng)絡(luò)部隊(duì)或組織機(jī)構(gòu)，都在研究自己的攻擊武器，這些攻擊武器涉及到各種不同的平臺(tái)，包含各種漏洞、惡意軟件，例如近期有一些高端的國(guó)家黑客組織利用手機(jī)漏洞和軟件盜取其他國(guó)家特定高端人員的手機(jī)信息，網(wǎng)絡(luò)攻擊行為從來(lái)沒(méi)有停止過(guò)，高端的黑客組織一直在全球傳播各種惡意軟件，并通過(guò)這些惡意軟件獲取相關(guān)的信息，網(wǎng)絡(luò)犯罪組織通過(guò)這些惡意軟件發(fā)起各種網(wǎng)絡(luò)攻擊活動(dòng)。

可以預(yù)測(cè)在未來(lái)，這種網(wǎng)絡(luò)攻擊行為會(huì)變的更加隱蔽，使用惡意軟件會(huì)越來(lái)越多，筆者一直在跟蹤全球的這些黑客組織，分析和研究各種新型的惡意軟件家族以其變種樣本，雖然網(wǎng)絡(luò)安全廠商不斷在宣傳自己的新的產(chǎn)品和新的技術(shù)，同時(shí)國(guó)家也對(duì)網(wǎng)絡(luò)安全越來(lái)越重視，然后效果可能并不理想，網(wǎng)絡(luò)攻擊行為仍然不斷在發(fā)現(xiàn)，各種安全事件不斷被暴光，其實(shí)底層有更多的安全事件并沒(méi)有被發(fā)現(xiàn)或暴光，網(wǎng)絡(luò)安全會(huì)成為未來(lái)國(guó)家和企業(yè)發(fā)展的核心，企業(yè)做的越大，越會(huì)成為黑客組織攻擊的目標(biāo)，國(guó)家強(qiáng)大更離不開網(wǎng)絡(luò)安全的保障，現(xiàn)在一些境外黑客組織一直在試圖向我國(guó)發(fā)起各種網(wǎng)絡(luò)攻擊行為，更多的網(wǎng)絡(luò)攻擊行為還需要去深度的挖掘，隨著國(guó)際形勢(shì)的變幻，未來(lái)可能會(huì)有更多的黑客組織將目標(biāo)鎖定到我國(guó)，對(duì)我國(guó)的金融、政券、能源、水電力、教育、醫(yī)療、以及重要政府軍事等部門等發(fā)起網(wǎng)絡(luò)攻擊行動(dòng)，未來(lái)都需要更多專業(yè)的網(wǎng)絡(luò)安全人才，網(wǎng)絡(luò)安全從業(yè)者一定要提升自身的安全素養(yǎng)與專業(yè)的安全能力，多花時(shí)間去研究網(wǎng)絡(luò)安全技術(shù)，善于分析全球網(wǎng)絡(luò)安全形勢(shì)，以及流行黑客組織的攻擊行為，對(duì)這些成熟的黑客組織的攻擊特征深入研究，

正所謂，知已知彼，才能百戰(zhàn)不殆，國(guó)際形勢(shì)正在發(fā)生大的變化，我們要做好較長(zhǎng)時(shí)間應(yīng)對(duì)外部環(huán)境變化的準(zhǔn)備，不斷學(xué)習(xí)，提升自己的專業(yè)能力，打鐵還需自身硬！