网络犯罪组织请求内部人士帮助植入勒索软件

据观察，一名尼日利亚威胁行为人试图招募员工，让他们支付100万美元的比特币，在公司网络上部署黑王国勒索软件，作为内部威胁计划的一部分。

“发件人告诉员工，如果他们能够在公司计算机或Windows服务器上部署勒索软件，那么他们将获得100万美元的比特币，或假定的250万美元勒索金额的40%，”异常安全在周四发布的一份报告中说。“员工被告知他们可以通过物理方式或远程方式启动勒索软件。如果员工感兴趣，发件人提供了两种联系方式—；Outlook电子邮件帐户和电报用户名。”

今年3月早些时候，当发现威胁行为人利用影响微软Exchange服务器的ProxyLogon漏洞，用勒索软件毒株感染未修补的系统时，黑王国（Black Kingdom，也称DemonWare and DEMON）引起了人们的注意。

8月12日，异常安全部门检测到并阻止了这些网络钓鱼邮件，通过创建一个虚构的人物角色回应了这一请求，并通过Telegram messenger联系了该演员，结果该个人无意中泄露了攻击手法，其中包括可执行勒索软件有效载荷的两个链接，“员工”可以从WeTransfer或Mega下载。新西兰。

Crane Hassold说：“演员还指示我们处理.EXE文件，并将其从回收站中删除。根据演员的回答，他似乎很清楚1）希望员工能够实际访问服务器，2）他不太熟悉数字取证或事件响应调查。”，异常安全部门的威胁情报主管。

除了对他们的赎金要求采取灵活的方式外，该计划据信是由拉各斯一家社交网络初创公司的首席执行官炮制的，目的是利用被挪用的资金“建立我自己的公司”在为期五天的一次谈话中，此人甚至称自己为“下一个马克·扎克伯格”

另外值得特别注意的是，使用LinkedIn收集高级管理人员的公司电子邮件地址的方法，再次突显了源自尼日利亚的商业电子邮件泄露（BEC）攻击如何继续演变，并使企业面临勒索软件等复杂攻击。

Tim Erlin说：“网络攻击和社会工程之间的界限一直很模糊，这是二者如何交织在一起的一个例子。随着人们越来越善于识别和避免网络钓鱼，攻击者采用新策略来实现其目标也就不足为奇了。”，Tripwire负责产品管理和战略的副总裁说。

“将心怀不满的内部人士视为网络安全威胁的想法并不新鲜。只要组织需要员工，就总会有一些内部风险。获得一份赎金的承诺似乎很有吸引力，但几乎不能保证这种共谋行为会得到回报，而且很可能有人接受攻击者的报价会被抓住，”厄林补充道。