Nemty联盟模式

在Nemty勒索软件停止运营近一年后，我们披露其在2019年至2020年间运营的内部细节，以记录该组织的商业模式及其周边参与者。

本文并非对勒索软件技术能力的分析——McAfee已发布涵盖Nemty演变过程和技术能力的精彩分析。我们旨在展示RaaS（勒索软件即服务）的内部运作方式，并描述不同联盟成员特征，以记录2019年重要的勒索软件威胁。

Nemty后端架构

与2019年许多威胁行为者一样，Nemty团伙选择使用名为Brazzzer的Fast Flux技术隐藏其后端。nemty[.]top和nemty[.]hk两个域名均受到保护，以避免暴露控制服务器的真实IP。

这些域名解析到由Fast Flux管理的不同临时IP（nginx代理），这些代理再将流量重定向到真实服务器。

然而，在互联网上保持匿名十分困难。仅靠Fast Flux保护远不足以隐藏服务器IP。Nemty最终泄露了其服务器真实IP：5[.]182[.]39[.]200。

他们的控制服务器配置存在缺陷，允许任何人直接从IP访问CnC，这使我们的调查变得更为容易：

[点击查看完整图片]

我们观察到该IP在整个运营期间直至勒索软件终止都用于Nemty域名。

Nemty后端面板

Nemty采用勒索软件即服务模式。后端是一个使用socket.io库、基于JavaScript开发的简陋中央面板。每个联盟成员可使用自己的凭据登录。整个后端通过管理员账户管理，该账户可查看和操作所有联盟成员的僵尸程序。

每个联盟成员可查看自己的僵尸程序、与加密受害者互动、构建新的勒索软件存根并与管理员交流。

[点击查看完整图片] Nemty僵尸程序列表 [点击查看完整图片] 僵尸程序详情 [点击查看完整图片] 存根构建器 [点击查看完整图片] 联盟成员列表

联盟成员分析

如最后一张截图所示，后端最有趣的部分是联盟成员列表。以下是观察到的完整联盟成员列表：

如果您熟悉2019/2020年的RaaS生态系统，会很快认出一些知名昵称。例如"jokeroo"是试图自主经营的知名行为者，symmetries在其他RaaS中也很有名，helliscod在多个论坛上购买Raccoon等不同恶意软件，sprite77则是著名的GandCrab联盟成员。

[点击查看完整图片]

这些昵称随处可见，表明RaaS联盟成员不会将资金仅投入一个项目。同一行为者出现在不同RaaS中非常普遍，当我们看到大量分发不同勒索软件家族的活动时，实际上只是少数行为者群体。2021年仍可在Dharma勒索软件或DJVU中找到其中一些成员。

面板开发者的错误

如前所述，Nemty在2019年8月至2020年4月期间运行，我们监控到整个运营期间使用相同的单一IP作为后端：5[.]182[.]39[.]200。

当尝试获取基础设施的开源情报时，StackOverflow是最佳挖掘地点之一。

无论是否犯罪分子，这些操作背后终究是开发产品的人类，他们也会在调试代码时遇到困难。

2019年9月25日，昵称为Sajan Maharjan的用户发布新帖子，请求帮助调试比特币节点实现：

[点击查看完整图片] StackOverflow帖子截图

我们可以看到发帖人粘贴的代码中提到HOST = “5.182.39[.]200”；。巧合的是，Nemty IP当时也打开了8333端口。

该StackOverflow用户似乎从事JavaScript库和UI开发，居住在南韩——2019年Nemty在该地区最为活跃。这些元素表明该用户可能与Nemty运营的后端开发人员有关。

这类错误很好地提醒了我们StackOverflow上暴露数据的力量。这并非第一个犯此错误的行为者，也不会是最后一个。

结论

本文试图记录2019/2020年Nemty的联盟模式及其周边行为者，以便未来调查这些犯罪分子可能使用的新威胁。

关于Nemty的完整历史和技术细节，建议阅读McAfee研究人员撰写的论文：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/

附录

在IP 5.182.39[.]200上观察到的虚拟主机：

• nemty[.]top
• nemty[.]hk
• nemty10[.]hk

早期Nemty更新日志（从俄语翻译）：

• 2019.08.20 16:56:51 发布日 面板准备就绪 加密器准备就绪
• 2019.08.22 07:22:55 更新1.0.1 & 1.0.2 修复构建器页面 添加页面加载器 在僵尸程序页面添加驱动器部分
• 2019.08.24 09:32:35 更新1.1 & 1.0.3 勒索软件：通过线程异步化显著提升加密速度 扩展名改为.NEMTY{filkeid}_ 网页面板：添加简单标签如"@admin"（管理员将到来）修复部分错误
• 2019.08.25 09:15:29 警告更新构建
• 2019.08.26 08:09:48 更新您的构建 实际版本—1.3
• 2019.08.26 08:49:57 重要阅读事项 现有两名来自不同国家的受害者联系，均表示：测试解密无效，但无法支付如此高额，因为我不是富人。经查发现问题：他们无法解密文件的原因是在文件末尾保留加密密钥和文件扩展名时，发现文件扩展名与上传到网站的不匹配，因此无法解密该文件。决定在文件体中添加扩展名检查，该功能将于今日可用。
• 2019.08.28 12:56:42 更新勒索软件 新增：无配置文件，所有内容在勒索通知中 修复CD-ROM
• 2019.08.29 19:50:38 安全警告 检查您的BTC地址，如果设置中没有BTC地址，受害者将无法打开支付页面
• 2019.08.31 06:51:19 更新 添加保存所有消息
• 2019.09.06 11:19:58 勒索软件更新 受害者将在加密文件前出现在面板中
• 2019.09.09 08:46:37 小型更新 更新构建，现在勒索软件将跳过扩展名为"nemty"、“exe”、“log”、“cab”、“cmd”、“com”、“cpl”、“exe”、“ini”、“dll”、“url”、“ttf”、“url"的文件（包括大写） 添加进程终止：“sql”、“winword”、“wordpad”、“outlook”、“thunderbird”、“oracle”、“excel”、“onenote”、“virtualboxvm” 添加服务停止：“DbxSvc”、“OracleXETNSListener”、“OracleServiceXE”、“AcrSch2Svc”、“AcronisAgent”、“Apache2.4”、“SQLWriter”、“MSSQL$SQLEXPRESS”、“MSSQLServerADHelper100”、“MongoDB”、“SQLAgent$SQLEXPRESS”、“SQLBrowser” 如需扩展此列表—管理员jabber：nemty@thesecure.biz
• 2019.09.24 05:35:24 更新1.5 FastFlux
• 2019.09.27 09:05:57 清理 无用旧僵尸程序已被删除
• 2019.10.02 15:28:23 1.6勒索软件更新 更改加密算法 添加自有密钥生成器（非伪密钥）
• 2019.10.10 08:25:03 更新构建 若无互联网连接，将无法获取IP，导致面板无法检测IP字符串并提供错误配置文件 请更新构建，所有无互联网连接或未收到IP的僵尸程序将显示澳大利亚IP 1.1.1.1