信息來源：Freebuf

勒索病毒已經(jīng)被公認(rèn)成為企業(yè)最大的安全威脅，通過近幾個月時間的監(jiān)控，2020年針對企業(yè)或個人的勒索病毒攻擊已經(jīng)變的越來越頻繁，同時隨著新冠疫情的影響，一些勒索病毒黑客組織甚至將目標(biāo)鎖定為一些醫(yī)療衛(wèi)生機(jī)構(gòu)，以謀取最大的利潤，2020年勒索病毒黑客組織從未停止過運(yùn)營，在不斷更新自己的攻擊手法、變種樣本和運(yùn)營模式，NEMTY勒索病毒最近宣布關(guān)閉公共RAAS服務(wù)平臺操作，轉(zhuǎn)變?yōu)槔账鞑《痉?wù)私有化模式

NEMTY勒索病毒是一款新型的流行勒索病毒，首次發(fā)現(xiàn)于2019年8月21號，8月24號國外安全研究人員公布了些勒索病毒的相關(guān)信息，筆者在第一時間對此勒索病毒1.0版本病毒樣本進(jìn)行了詳細(xì)分析，在隨后幾個月的發(fā)展過程中，此勒索病毒從最開始的1.0版本發(fā)展到了最新的3.1版本，期間經(jīng)歷了1.0，1.4，1.5，1.6，2.0，2.3，2.4，2.5等各種不同的變種版本，此前NEMTY勒索病毒一直在公共的RAAS平臺進(jìn)行分發(fā)，該平臺由勒索病毒運(yùn)營商負(fù)責(zé)開發(fā)勒索病毒和付款站點，勒索病毒運(yùn)營商獲得30%的利潤，平臺上的會員可獲得他們帶來的勒索款項的70%利潤，近期NEMTY勒索病毒運(yùn)營商發(fā)表聲明，決定關(guān)閉其公共的RAAS操作平臺服務(wù)，切換為私有化服務(wù)，這種私有化運(yùn)營服務(wù)，將根據(jù)其會員的專業(yè)知識進(jìn)行篩選，導(dǎo)致后面并不是所有人都可以通過RAAS平臺購買和傳播勒索病毒，勒索病毒運(yùn)營組織將會對購買人員專業(yè)知識進(jìn)行篩選，這種私有化的服務(wù)方式會不會成為2020年勒索病毒黑客組織的一種新的發(fā)展趨勢?此前基于公共RAAS平臺服務(wù)的流行勒索病毒Globelmposter，CrySiS，Phobos，Sodinokibi等會不會后期也會關(guān)閉其公共的RAAS服務(wù)，轉(zhuǎn)化為私有化服務(wù)

筆者跟蹤到一款最新的NEMTY勒索病毒變種，此勒索病毒最新變種版本為3.1，加密后的文件，如下所示：

勒索病毒勒索提示信息內(nèi)容，如下所示：

逆向分析NEMTY3.1勒索病毒的相關(guān)代碼，如下所示：

可以發(fā)現(xiàn)NEMTY3.1版本的代碼結(jié)構(gòu)與NEMTY2.5版本的代碼結(jié)構(gòu)不一樣，因為NEMTY勒病毒黑客組織對NEMTY3.1版本的代碼進(jìn)行了重構(gòu)，如下所示：

同時NEMTY2.5版本的代碼已經(jīng)被改裝成一款新型的勒索病毒Nefilim，可能是因為這個新型勒索病毒黑客組織購買了NEMTY2.5版本的源代碼，同時這個新型的勒索病毒組織還宣稱不會以醫(yī)院、非營利組織、學(xué)?；蛘块T作為目標(biāo)，在隨后的發(fā)展，這款勒索病毒迅速出現(xiàn)了另一個新的變種Nephilim

NEMTY勒索病毒此前主要在韓國等東南亞地區(qū)國家比較流行，最新的這款勒索病毒變種竟然冒充了比較流行的一款惡意軟件BUER Loader的泄露版進(jìn)行傳播，如下所示：

BUER Loader是一款近期在地下黑客論壇非常流行的惡意軟件，這款惡意軟件是一款木馬下載器，首次于2019年8月被Proofpoint安全研究人員追蹤并公布，隨后在9月和10月的多次惡意軟件攻擊活動中被利用，這款惡意軟件是使用C和.NET Core編寫的客戶端和服務(wù)器，下載程序是使用純C語言開發(fā)，控制面板使用.NET Core編寫，使得它的性能得到了優(yōu)化，下載占用空間小，并且能輕松地在Linux服務(wù)器上安裝控制面板，同時因為其內(nèi)置對Docker容器的支持進(jìn)一步促進(jìn)了其在用于惡意目的的租用主機(jī)及受感染主機(jī)上的擴(kuò)散，此前這款新型的下載器在各種黑客論壇進(jìn)行銷售，售價為400美元，筆者發(fā)現(xiàn)有人在某黑客論壇發(fā)布了這款勒索病毒的泄露版，如下所示：

由于論壇需要高級會員才能下載到這款下載器的Cracked+Builder版本，所以不知道這個是不是就是筆者捕獲的這款NEMTY勒索病毒最新版本，不過下面已經(jīng)有人回復(fù)了，如下所示：

后面版主又回復(fù)說不是勒索病毒，然后還看到其它會員表示感謝之類的，通過發(fā)布的鏈接可以得知在論壇上發(fā)布的這款下載器程序，如下所示：

上面顯示作者為Builder by 0xx0ByteNax，與筆者跟蹤到的NEMTY勒索病毒使用的名字是一樣的，而且勒索病毒也采用了BUER Loader下載器的圖標(biāo)，通過從上面的追蹤可以發(fā)現(xiàn)肯定是有人在RAAS平臺購買了這款勒索病毒的最新變種樣本，然后再通過這種方式在黑客論壇或聊天群等地方進(jìn)行傳播，這是一種典型的黑吃黑行為，其實這種黑吃黑行為并就不是第一次被發(fā)現(xiàn)，之前就已經(jīng)發(fā)現(xiàn)一些惡意軟件會通過破解或泄露版黑客工具和程序進(jìn)行傳播，如果使用這些破解程序的黑客不清楚這些破解程序是不是帶有后門或捆綁其他惡意軟件等，就可能會被其它的黑客組織控制和利用，然后導(dǎo)致自己的數(shù)據(jù)被其他黑客組織盜取，從而被黑吃黑。

2020年勒索病毒攻擊已經(jīng)呈現(xiàn)一種爆發(fā)的趨勢，各個勒索病毒的黑客組織都在積極更新自己的勒索病毒樣本和運(yùn)營模式，由于通過勒索病毒攻擊獲利的黑客組織越來越多，這些勒索病毒黑客組織之間的競爭也越來越大，全球經(jīng)濟(jì)由于新冠疫情的影響，很多行業(yè)都受到了影響，2020年注定是非常艱難的一年，黑客組織正在試圖通過改變運(yùn)營方式來最大限度的獲取暴利，其中這種關(guān)閉公共RAAS平臺服務(wù)的方式，可以讓其能招募更加有經(jīng)驗的惡意軟件開發(fā)人員，同時也是為了讓勒索病毒運(yùn)營團(tuán)隊更專注于有利可圖的攻擊，防止一些非專業(yè)人士的操作，不斷沒有獲取到利潤，反而導(dǎo)致一些泄露信息的行為，NEMTY勒索病毒運(yùn)營組織已經(jīng)宣布以后勒索病毒的主解密密鑰也不會在公共的RAAS平臺上進(jìn)行公布

通過NEMTY勒索病毒黑客組織關(guān)閉其公共RAAS服務(wù)，可以預(yù)測未來勒索病毒黑客組織會更注重專業(yè)程度的黑客攻擊行為，這樣他們可以通過更有針對性的攻擊行為，使勒索病毒帶來更多的收入，這其實就是一個市場行為，當(dāng)一個行為出現(xiàn)很多相同的競爭對手的時候，就只能提高行業(yè)的專業(yè)程度和服務(wù)水平，然后通過“大魚吃小魚”干掉吞并掉其他組織，這樣專業(yè)的勒索病毒黑客組織可以獲利更多的利潤，其實早前Sodinokibi勒索病毒黑客組織就已經(jīng)在全球范圍內(nèi)招募高級的惡意軟件開發(fā)人員，可見現(xiàn)在全球的勒索病毒黑客組織內(nèi)部競爭非常激烈，甚至有一些行業(yè)內(nèi)幕和規(guī)則，地理位置的劃分等，同時由于挖礦等產(chǎn)業(yè)的不景氣，BTC現(xiàn)在已經(jīng)很難被挖到，Sodinokbi勒索病毒團(tuán)隊現(xiàn)在已經(jīng)開始使用門羅幣進(jìn)行交易，以提高贖金支付比率，更多的黑客組織也將自身的產(chǎn)業(yè)轉(zhuǎn)向了勒索病毒產(chǎn)業(yè)，從2020年開始，不僅僅安全廠商競爭會越來越激烈，全球的黑客組織也會開始競爭，未來安全廠商會不斷的創(chuàng)新，提供更好的安全服務(wù)，黑客組織也會不斷改進(jìn)自己的MAAS平臺，以便向客戶更好的提供他們需要的惡意軟件，更加具有專業(yè)性和多功能化模塊集成，使得黑客攻擊行為更加具有針對性，提供更多的黑客服務(wù)，攻擊獲利的機(jī)會也會變大，未來基于惡意軟件MAAS的私有化服務(wù)可能也會成為黑客組織一個新的發(fā)展趨勢

筆者多年來一直在跟蹤全球的各種黑客組織的攻擊行為，現(xiàn)在各種惡意軟件真的無處不在，不斷有新的惡意軟件家族和變種出現(xiàn)，很多具有國家政府背景的黑客組織都在不斷努力研發(fā)自己的新型惡意軟件，這些惡意軟件包含勒索病毒、下載器、后門、竊密軟件、僵尸網(wǎng)絡(luò)、銀行木馬、挖礦木馬等等，這些類型的惡意軟件都是可以直接帶來經(jīng)濟(jì)效益和達(dá)到攻擊效果的惡意軟件，同時勒索病毒已經(jīng)不僅僅是一些黑客組織獲取暴利的手段，現(xiàn)在已經(jīng)變成了國與國之間進(jìn)行網(wǎng)絡(luò)攻擊的高端武器，朝鮮政府的黑客組織開發(fā)并在全球范圍內(nèi)部置了各種惡意軟件，這些惡意軟件也越來越復(fù)雜化，利用這些惡意軟件發(fā)起網(wǎng)絡(luò)攻擊活動，通過這些網(wǎng)絡(luò)攻擊活動竊取的錢財利益已經(jīng)高達(dá)到20億美元，利用惡意軟件從全球金融機(jī)構(gòu)和數(shù)字貨幣交易所盜竊資金，美國政府最近提供最高達(dá)500萬美元的懸賞給任何能夠提供“朝鮮在網(wǎng)絡(luò)空間進(jìn)行非法活動的信息”的人，同時美國認(rèn)為朝鮮已經(jīng)形成強(qiáng)有力的軍事級別的網(wǎng)絡(luò)攻擊能力。

事實上全球很多國家都有自己的網(wǎng)絡(luò)部隊或組織機(jī)構(gòu)，都在研究自己的攻擊武器，這些攻擊武器涉及到各種不同的平臺，包含各種漏洞、惡意軟件，例如近期有一些高端的國家黑客組織利用手機(jī)漏洞和軟件盜取其他國家特定高端人員的手機(jī)信息，網(wǎng)絡(luò)攻擊行為從來沒有停止過，高端的黑客組織一直在全球傳播各種惡意軟件，并通過這些惡意軟件獲取相關(guān)的信息，網(wǎng)絡(luò)犯罪組織通過這些惡意軟件發(fā)起各種網(wǎng)絡(luò)攻擊活動。

可以預(yù)測在未來，這種網(wǎng)絡(luò)攻擊行為會變的更加隱蔽，使用惡意軟件會越來越多，筆者一直在跟蹤全球的這些黑客組織，分析和研究各種新型的惡意軟件家族以其變種樣本，雖然網(wǎng)絡(luò)安全廠商不斷在宣傳自己的新的產(chǎn)品和新的技術(shù)，同時國家也對網(wǎng)絡(luò)安全越來越重視，然后效果可能并不理想，網(wǎng)絡(luò)攻擊行為仍然不斷在發(fā)現(xiàn)，各種安全事件不斷被暴光，其實底層有更多的安全事件并沒有被發(fā)現(xiàn)或暴光，網(wǎng)絡(luò)安全會成為未來國家和企業(yè)發(fā)展的核心，企業(yè)做的越大，越會成為黑客組織攻擊的目標(biāo)，國家強(qiáng)大更離不開網(wǎng)絡(luò)安全的保障，現(xiàn)在一些境外黑客組織一直在試圖向我國發(fā)起各種網(wǎng)絡(luò)攻擊行為，更多的網(wǎng)絡(luò)攻擊行為還需要去深度的挖掘，隨著國際形勢的變幻，未來可能會有更多的黑客組織將目標(biāo)鎖定到我國，對我國的金融、政券、能源、水電力、教育、醫(yī)療、以及重要政府軍事等部門等發(fā)起網(wǎng)絡(luò)攻擊行動，未來都需要更多專業(yè)的網(wǎng)絡(luò)安全人才，網(wǎng)絡(luò)安全從業(yè)者一定要提升自身的安全素養(yǎng)與專業(yè)的安全能力，多花時間去研究網(wǎng)絡(luò)安全技術(shù)，善于分析全球網(wǎng)絡(luò)安全形勢，以及流行黑客組織的攻擊行為，對這些成熟的黑客組織的攻擊特征深入研究，

正所謂，知已知彼，才能百戰(zhàn)不殆，國際形勢正在發(fā)生大的變化，我們要做好較長時間應(yīng)對外部環(huán)境變化的準(zhǔn)備，不斷學(xué)習(xí)，提升自己的專業(yè)能力，打鐵還需自身硬！