NEMTY 的继任者——Nefilim/Nephilim 勒索软件

现在是一个研究跟踪勒索软件趋势的有趣时机，特别是在过去的一两年里，我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事，但必须将每一个勒索软件感染都视为违规行为，这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍，这尤其复杂。
勒索软件家族，如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例，一旦感染，就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道，但Nephilim是另一个迅速发展的家族，它发起了多起破坏性活动。如果受害者不能“配合”他们的要求，他们就会公布受害者的敏感信息。

概述

Nefilim出现于2020年3月，与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。
NEMTY于2019年8月作为一个公共项目推出，之后转为私有。目前的数据表明，在这两个家族背后的不是同一个人，更有可能的是，Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。
Nefilim和NEMTY的两个主要区别是支付模式，以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系，而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱，Nefilim似乎演变为了“Nephilim”，两者在技术上相似，主要区别在于扩展名和加密文件中的工件。
然而，也有情报表明，NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前，NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。
从技术上讲，Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境，他们就会继续建立持久性，在可能的情况下查找和窃取其他凭证，然后将勒索软件的payload传播给潜在目标。

Nephilim加密协议

在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意，Nefilim/Nephilim背后的原始供应商也这样做。

特定的文件使用AES-128加密。此时，使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域，后者已知使用了不同的密钥长度。例如，早期版本的NEMTY使用RSA-8192作为“主密钥”，用于加密目标配置数据和其他密钥(src: Acronis)。
我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外，在早期版本的NEMTY中，处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。
目前，只有Nephilim背后的参与者能够解密受影响的文件。也就是说，没有已知的漏洞或方法来绕过攻击者对加密文件的保护。

感染后的行为

感染后，加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。

在某些情况下，对于Nephilim，“nephilm – decrypt.txt”将只写入~/AppData/Local/VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中，备用桌面映像被写入%temp%，文件名为’ god.jpg ‘。

字符串，区别特征

Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”，主要是向研究人员和分析人员发送。例如，以下编译器路径可以在这些示例中找到(均在2020年4月7日编译):

b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020

而样本为：

d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3

从2020年3月开始包含对特定AV厂商的额外攻击。

该样本来源于@malwrhunterteam 在3月13号的推文。

羞辱策略

Nefilim/Nephilim还威胁说，如果受害者拒绝配合要求，他们将公布敏感信息，这一点在这张典型的Nephilim勒索信中得到了证明。

结论