黑吃黑?NEMTY勒索病毒RAAS服务私有化

前言

勒索病毒已经被公认成为企业最大的安全威胁,通过近几个月时间的监控,2020年针对企业或个人的勒索病毒攻击已经变的越来越频繁,同时随着新冠疫情的影响,一些勒索病毒黑客组织甚至将目标锁定为一些医疗卫生机构,以谋取最大的利润,2020年勒索病毒黑客组织从未停止过运营,在不断更新自己的攻击手法、变种样本和运营模式,NEMTY勒索病毒最近宣布关闭公共RAAS服务平台操作,转变为勒索病毒服务私有化模式

NEMTY勒索病毒是一款新型的流行勒索病毒,首次发现于2019年8月21号,8月24号国外安全研究人员公布了些勒索病毒的相关信息,笔者在第一时间对此勒索病毒1.0版本病毒样本进行了详细分析,在随后几个月的发展过程中,此勒索病毒从最开始的1.0版本发展到了最新的3.1版本,期间经历了1.0,1.4,1.5,1.6,2.0,2.3,2.4,2.5等各种不同的变种版本,此前NEMTY勒索病毒一直在公共的RAAS平台进行分发,该平台由勒索病毒运营商负责开发勒索病毒和付款站点,勒索病毒运营商获得30%的利润,平台上的会员可获得他们带来的勒索款项的70%利润,近期NEMTY勒索病毒运营商发表声明,决定关闭其公共的RAAS操作平台服务,切换为私有化服务,这种私有化运营服务,将根据其会员的专业知识进行筛选,导致后面并不是所有人都可以通过RAAS平台购买和传播勒索病毒,勒索病毒运营组织将会对购买人员专业知识进行筛选,这种私有化的服务方式会不会成为2020年勒索病毒黑客组织的一种新的发展趋势?此前基于公共RAAS平台服务的流行勒索病毒Globelmposter,CrySiS,Phobos,Sodinokibi等会不会后期也会关闭其公共的RAAS服务,转化为私有化服务

NEMTY勒索病毒

笔者跟踪到一款最新的NEMTY勒索病毒变种,此勒索病毒最新变种版本为3.1,加密后的文件,如下所示:

勒索病毒勒索提示信息内容,如下所示:

逆向分析NEMTY3.1勒索病毒的相关代码,如下所示:

可以发现NEMTY3.1版本的代码结构与NEMTY2.5版本的代码结构不一样,因为NEMTY勒病毒黑客组织对NEMTY3.1版本的代码进行了重构,如下所示:

同时NEMTY2.5版本的代码已经被改装成一款新型的勒索病毒Nefilim,可能是因为这个新型勒索病毒黑客组织购买了NEMTY2.5版本的源代码,同时这个新型的勒索病毒组织还宣称不会以医院、非营利组织、学校或政府部门作为目标,在随后的发展,这款勒索病毒迅速出现了另一个新的变种Nephilim

黑吃黑勒索追踪

NEMTY勒索病毒此前主要在韩国等东南亚地区国家比较流行,最新的这款勒索病毒变种竟然冒充了比较流行的一款恶意软件BUER Loader的泄露版进行传播,如下所示:

BUER Loader是一款近期在地下黑客论坛非常流行的恶意软件,这款恶意软件是一款木马下载器,首次于2019年8月被Proofpoint安全研究人员追踪并公布,随后在9月和10月的多次恶意软件攻击活动中被利用,这款恶意软件是使用C和.NET Core编写的客户端和服务器,下载程序是使用纯C语言开发,控制面板使用.NET Core编写,使得它的性能得到了优化,下载占用空间小,并且能轻松地在Linux服务器上安装控制面板,同时因为其内置对Docker容器的支持进一步促进了其在用于恶意目的的租用主机及受感染主机上的扩散,此前这款新型的下载器在各种黑客论坛进行销售,售价为400美元,笔者发现有人在某黑客论坛发布了这款勒索病毒的泄露版,如下所示:

由于论坛需要高级会员才能下载到这款下载器的Cracked+Builder版本,所以不知道这个是不是就是笔者捕获的这款NEMTY勒索病毒最新版本,不过下面已经有人回复了,如下所示:

后面版主又回复说不是勒索病毒,然后还看到其它会员表示感谢之类的,通过发布的链接可以得知在论坛上发布的这款下载器程序,如下所示:

上面显示作者为Builder by 0xx0ByteNax,与笔者跟踪到的NEMTY勒索病毒使用的名字是一样的,而且勒索病毒也采用了BUER Loader下载器的图标,通过从上面的追踪可以发现肯定是有人在RAAS平台购买了这款勒索病毒的最新变种样本,然后再通过这种方式在黑客论坛或聊天群等地方进行传播,这是一种典型的黑吃黑行为,其实这种黑吃黑行为并就不是第一次被发现,之前就已经发现一些恶意软件会通过破解或泄露版黑客工具和程序进行传播,如果使用这些破解程序的黑客不清楚这些破解程序是不是带有后门或捆绑其他恶意软件等,就可能会被其它的黑客组织控制和利用,然后导致自己的数据被其他黑客组织盗取,从而被黑吃黑

总结

2020年勒索病毒攻击已经呈现一种爆发的趋势,各个勒索病毒的黑客组织都在积极更新自己的勒索病毒样本和运营模式,由于通过勒索病毒攻击获利的黑客组织越来越多,这些勒索病毒黑客组织之间的竞争也越来越大,全球经济由于新冠疫情的影响,很多行业都受到了影响,2020年注定是非常艰难的一年,黑客组织正在试图通过改变运营方式来最大限度的获取暴利,其中这种关闭公共RAAS平台服务的方式,可以让其能招募更加有经验的恶意软件开发人员,同时也是为了让勒索病毒运营团队更专注于有利可图的攻击,防止一些非专业人士的操作,不断没有获取到利润,反而导致一些泄露信息的行为,NEMTY勒索病毒运营组织已经宣布以后勒索病毒的主解密密钥也不会在公共的RAAS平台上进行公布

通过NEMTY勒索病毒黑客组织关闭其公共RAAS服务,可以预测未来勒索病毒黑客组织会更注重专业程度的黑客攻击行为,这样他们可以通过更有针对性的攻击行为,使勒索病毒带来更多的收入,这其实就是一个市场行为,当一个行为出现很多相同的竞争对手的时候,就只能提高行业的专业程度和服务水平,然后通过“大鱼吃小鱼”干掉吞并掉其他组织,这样专业的勒索病毒黑客组织可以获利更多的利润,其实早前Sodinokibi勒索病毒黑客组织就已经在全球范围内招募高级的恶意软件开发人员,可见现在全球的勒索病毒黑客组织内部竞争非常激烈,甚至有一些行业内幕和规则,地理位置的划分等,同时由于挖矿等产业的不景气,BTC现在已经很难被挖到,Sodinokbi勒索病毒团队现在已经开始使用门罗币进行交易,以提高赎金支付比率,更多的黑客组织也将自身的产业转向了勒索病毒产业,从2020年开始,不仅仅安全厂商竞争会越来越激烈,全球的黑客组织也会开始竞争,未来安全厂商会不断的创新,提供更好的安全服务,黑客组织也会不断改进自己的MAAS平台,以便向客户更好的提供他们需要的恶意软件,更加具有专业性和多功能化模块集成,使得黑客攻击行为更加具有针对性,提供更多的黑客服务,攻击获利的机会也会变大,未来基于恶意软件MAAS的私有化服务可能也会成为黑客组织一个新的发展趋势

笔者多年来一直在跟踪全球的各种黑客组织的攻击行为,现在各种恶意软件真的无处不在,不断有新的恶意软件家族和变种出现,很多具有国家政府背景的黑客组织都在不断努力研发自己的新型恶意软件,这些恶意软件包含勒索病毒、下载器、后门、窃密软件、僵尸网络、银行木马、挖矿木马等等,这些类型的恶意软件都是可以直接带来经济效益和达到攻击效果的恶意软件,同时勒索病毒已经不仅仅是一些黑客组织获取暴利的手段,现在已经变成了国与国之间进行网络攻击的高端武器,朝鲜政府的黑客组织开发并在全球范围内部置了各种恶意软件,这些恶意软件也越来越复杂化,利用这些恶意软件发起网络攻击活动,通过这些网络攻击活动窃取的钱财利益已经高达到20亿美元,利用恶意软件从全球金融机构和数字货币交易所盗窃资金,美国政府最近提供最高达500万美元的悬赏给任何能够提供“朝鲜在网络空间进行非法活动的信息”的人,同时美国认为朝鲜已经形成强有力的军事级别的网络攻击能力,事实上全球很多国家都有自己的网络部队或组织机构,都在研究自己的攻击武器,这些攻击武器涉及到各种不同的平台,包含各种漏洞、恶意软件,例如近期有一些高端的国家黑客组织利用手机漏洞和软件盗取其他国家特定高端人员的手机信息,网络攻击行为从来没有停止过,高端的黑客组织一直在全球传播各种恶意软件,并通过这些恶意软件获取相关的信息,网络犯罪组织通过这些恶意软件发起各种网络攻击活动,可以预测在未来,这种网络攻击行为会变的更加隐蔽,使用恶意软件会越来越多,笔者一直在跟踪全球的这些黑客组织,分析和研究各种新型的恶意软件家族以其变种样本,虽然网络安全厂商不断在宣传自己的新的产品和新的技术,同时国家也对网络安全越来越重视,然后效果可能并不理想,网络攻击行为仍然不断在发现,各种安全事件不断被暴光,其实底层有更多的安全事件并没有被发现或暴光,网络安全会成为未来国家和企业发展的核心,企业做的越大,越会成为黑客组织攻击的目标,国家强大更离不开网络安全的保障,现在一些境外黑客组织一直在试图向我国发起各种网络攻击行为,更多的网络攻击行为还需要去深度的挖掘,随着国际形势的变幻,未来可能会有更多的黑客组织将目标锁定到我国,对我国的金融、政券、能源、水电力、教育、医疗、以及重要政府军事等部门等发起网络攻击行动,未来都需要更多专业的网络安全人才,网络安全从业者一定要提升自身的安全素养与专业的安全能力,多花时间去研究网络安全技术,善于分析全球网络安全形势,以及流行黑客组织的攻击行为,对这些成熟的黑客组织的攻击特征深入研究,正所谓,知已知彼,才能百战不殆,国际形势正在发生大的变化,我们要做好较长时间应对外部环境变化的准备,不断学习,提升自己的专业能力,打铁还需自身硬!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/265765.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

el-table 指定表格合并行与单元格,以及表头合并单元格

1&#xff1a;页面html <template><div class"container"><div class"flex-end"><el-button type"primary" click"allEndBtn">批量办结</el-button><el-button type"primary" click"…

探讨:围绕 props 阐述 React 通信

在 ✓ &#x1f1e8;&#x1f1f3; 开篇&#xff1a;通过 state 阐述 React 渲染 中&#xff0c;以 setInterval 为例&#xff0c;梳理了 React 渲染的相关内容。 &#x1f4e2; 本篇会 ✓ &#x1f1e8;&#x1f1f3; 围绕 props 阐述 React 通信 props React 组件使用 pro…

【Java程序员面试专栏 算法思维】一 高频面试算法题:排序算法

一轮的算法训练完成后,对相关的题目有了一个初步理解了,接下来进行专题训练,以下这些题目就是汇总的高频题目,本篇主要聊聊排序算法,包括手撕排序算法,经典的TOPK问题以及区间合并,所以放到一篇Blog中集中练习 题目关键字解题思路时间空间快速排序双指针+递归+基准值分…

【数据结构】单链表解析+完整代码(插入、删除、尾插法、头插法、按值和按位查找、前插和后插)带头结点和不带两种实现

文章目录 3.1 单链表3.1.1 单链表的定义3.1.2 单链表的插入A.按位序插入&#xff08;带头结点&#xff09;B.按位序插入&#xff08;不带头结点&#xff09;C.指定结点的后插操作D.指定结点的前插操作 3.1.3 单链表的删除A.按位序删除B.删除指定结点 3.1.4 单链表的查找A.按位查…

亚马逊云科技实时 AI 编程助手 Amazon CodeWhisperer,开发快人一步

​ ​ Amazon CodeWhisperer 是一款 AI 编码配套应用程序&#xff0c;可在 IDE 中生成 整行代码和完整的函数代码建议&#xff0c;以帮助您更快地完成更多工作。在本系列 文章中&#xff0c;我们将为您详细介绍 Amazon CodeWhisperer 的相关信息&#xff0c;敬请 关注&#xff…

代理IP安全问题:在国外使用代理IP是否安全

目录 前言 一、国外使用代理IP的安全风险 1. 数据泄露 2. 恶意软件 3. 网络攻击 4. 法律风险 二、保护国外使用代理IP的安全方法 1. 选择可信的代理服务器 2. 使用加密协议 3. 定期更新系统和软件 4. 注意网络安全意识 三、案例分析 总结 前言 在互联网时代&…

微信小程序固定头部-CSS实现

效果图 代码逻辑&#xff1a;设置头部的高度&#xff0c;浮动固定后&#xff0c;再加个这个高度的大小的外边距 .weui-navigation-bar {position: fixed;top: 0px;left: 0px;right: 0px;height:90px; } .weui-navigation-bar_bottom{height:90px; }

基于视觉识别的自动采摘机器人设计与实现

一、前言 1.1 项目介绍 【1】项目功能介绍 随着科技的进步和农业现代化的发展&#xff0c;农业生产效率与质量的提升成为重要的研究对象。其中&#xff0c;果蔬采摘环节在很大程度上影响着整个产业链的效益。传统的手工采摘方式不仅劳动强度大、效率低下&#xff0c;而且在劳…

Redis 协议与异步方式

redis pipeline 模式 redis pipeline 是一个客户端提供的机制&#xff0c;与 redis 无关。pipeline 不具备事务性。目的&#xff1a;节约网络传输时间。通过一次发送多条请求命令&#xff0c;从而减少网络传输时间。 时间窗口限流 系统限定某个用户的某个行为在指定的时间范围…

Laravel - API 项目适用的图片验证码

1. 安装 gregwar/captcha 图片验证码接口的流程是&#xff1a; 生成图片验证码 生成随机的 key&#xff0c;将验证码文本存入缓存。 返回随机的 key&#xff0c;以及验证码图片 # 不限于 laravel 普通 php 项目也可以使用额 $ composer require gregwar/captcha2. 开发接口 …

精品基于SpringBoot的体育馆场地预约赛事管理系统的设计与实现-选座

《[含文档PPT源码等]精品基于SpringBoot的体育馆管理系统的设计与实现[包运行成功]》该项目含有源码、文档、PPT、配套开发软件、软件安装教程、项目发布教程、包运行成功&#xff01; 软件开发环境及开发工具&#xff1a; Java——涉及技术&#xff1a; 前端使用技术&#…

【Linux】实时查看服务器信息

查看服务器CPU使用率 使用命令mpstat 1。这里的1表示每隔1秒更新一次CPU使用率。如果系统未安装mpstat&#xff0c;可以通过安装sysstat包来获取它。 在基于Debian的系统&#xff08;如Ubuntu&#xff09;上&#xff0c;使用命令&#xff1a; sudo apt-get update sudo apt-…

刷题笔记 洛谷 P1162 填涂颜色

思路来自 大佬 hat.openai.com/c/9c30032e-5fb9-4677-8c15-9ea6530dc6db 题目链接 P1162 填涂颜色 - 洛谷 | 计算机科学教育新生态 (luogu.com.cn) 思路 搜索 首先 在外面围上一圈0开始搜素 因为题目说将封闭区域内的0变成2 我们可以在外面进行搜索 把外面所有可以搜索…

单片机烧录方式 -- IAP、ISP和ICP

目录 背景 1 什么是ICP 2 什么是ISP 3 什么是IAP 4 总结 背景 对于51单片机&#xff0c;我们使用STC-ISP上位机软件通过串口进行程序的烧写&#xff1b;对于STM32系列单片机&#xff0c;我们既可以通过串口烧写程序&#xff0c;也能通过JLink或是STLink进行程序的烧写&am…

ONLYOFFICE桌面编辑器v8.0完整指南:安装、特点与新增功能

文章目录 摘要引言安装主界面可填写的 PDF 表单双向文本支持电子表格中的新增功能其他改进与Moodle集成用密码保护PDF文件从“开始”菜单快速创建文档本地界面主题安装免费的 ONLYOFFICE桌面编辑器 总结 摘要 本文介绍了ONLYOFFICE桌面编辑器v8.0的安装、主界面特点以及新增功…

PID闭环控制算法的学习与简单使用

平台&#xff1a;matlab2021b&#xff0c;Vivado2018 应用场景和理解 一个早餐店&#xff0c;假如一天都有生意&#xff0c;生意有的时间很火爆&#xff0c;有时候又一般&#xff0c;老板又是个实在人&#xff0c;只知道在后厨蒸包子。由于包子蒸熟需要一定的时间&#xff0c;老…

面试数据库篇(mysql)- 12分库分表

拆分策略 垂直分库 垂直分库:以表为依据,根据业务将不同表拆分到不同库中。 特点: 按业务对数据分级管理、维护、监控、扩展在高并发下,提高磁盘IO和数据量连接数垂直分表:以字段为依据,根据字段属性将不同字段拆分到不同表中。 特点: 1,冷热数据分离 2,减少IO过渡争…

Qt中tableView控件的使用

tableView使用注意事项 tableView在使用时&#xff0c;从工具栏拖动到底层页面后&#xff0c;右键进行选择如下图所示&#xff1a; 此处需要注意的是&#xff0c;需要去修改属性&#xff0c;从UI上修改属性如下所示&#xff1a; 也可以通过代码修改属性&#xff1a; //将其设…

[项目]深度估计增强的多目标跟踪

去年10月开始到年底&#xff0c;做了一个小工作&#xff0c;就是将自监督单目深度估计与MOT结合&#xff0c;目的是充分利用深度信息解决遮挡问题&#xff0c;并且在估计深度的同时可以估计相机位姿&#xff0c;这是可以计算出相邻两帧像素的映射。这在视角较大变化下比较有用。…

OpenCV实现目标追踪

目录 准备工作 语言&#xff1a; 软件包&#xff1a; 效果演示 代码解读 &#xff08;1&#xff09;导入OpenCV库 &#xff08;2&#xff09;使用 cv2.VideoCapture 打开指定路径的视频文件 &#xff08;3&#xff09;使用 vid.read() 读取视频的第一帧&#xff0c;ret…