Nemty联盟模式

在Nemty勒索软件停止运营近一年后，我们披露其2019年至2020年间运营的内部细节，以记录该组织的商业模式和围绕其发展的参与者。

本文并非对勒索软件能力的技术分析——McAfee已发布涵盖Nemty演进和技术能力的精彩分析。我们试图展示RaaS（勒索软件即服务）的内部运作方式，并描述不同联盟成员的特征，以记录2019年重要的勒索软件威胁。

Nemty后端

与2019年许多威胁行为者一样，Nemty团伙选择将其后端隐藏在名为Brazzzer的Fast Flux后面。域名nemty[.]top和nemty[.]hk均受到保护，以免泄露控制服务器的真实IP。

这些域名解析到由Fast Flux管理的不同临时IP（nginx代理），这些代理将流量重定向到真实服务器。

然而，在互联网上保持匿名很困难。仅靠Fast Flux的保护远不足以保护隐藏服务器的IP。Nemty最终泄露了其服务器的真实IP：5[.]182[.]39[.]200。

他们的控制服务器配置不当，允许任何人直接从IP访问CnC，使我们的调查更加容易：

[点击查看完整尺寸图片]

我们观察到该IP在整个运营期间直至勒索软件结束都通过Nemty域名使用。

Nemty后端

Nemty是一个勒索软件即服务。后端是一个使用socket.io库用JavaScript开发的中心面板，开发水平较差。每个联盟成员可以使用自己的凭据登录。整个后端通过一个管理员账户管理，该账户能够查看和操纵所有联盟成员的僵尸程序。

每个联盟成员可以查看自己的僵尸程序，与加密受害者互动，构建新的勒索软件存根，并与管理员讨论。

[点击查看完整尺寸图片] Nemty僵尸程序列表

[点击查看完整尺寸图片] 僵尸程序详情

[点击查看完整尺寸图片] 存根构建器

[点击查看完整尺寸图片] 联盟成员列表

联盟成员

如最后一张截图所示，后端的有趣部分是联盟成员列表。以下是观察到的完整联盟成员列表：

如果您熟悉2019/2020年的RaaS生态系统，您会很快看到一些知名的昵称。例如，“jokeroo”是试图经营自己业务的知名行为者，symmetries在其他RaaS中也很有名，helliscod在多个论坛上购买不同恶意软件（如Raccoon）也很出名，而sprite77是知名的GandCrab联盟成员。

[点击查看完整尺寸图片]

所有这些昵称随处可见，表明RaaS的联盟成员不会只在一个项目上花费资金。看到相同的行为者出现在不同的RaaS上非常常见，当我们看到许多分发不同勒索软件家族的活动时，实际上只是少数行为者群体。在2021年，您仍然可以在Dharma勒索软件或DJVU周围找到其中一些行为者。

面板开发者的错误

如前所述，Nemty在2019年8月至2020年4月期间运行，我们在整个运营期间监控到使用相同的单个IP作为后端：5[.]182[.]39[.]200。

当您尝试获取基础设施的开源情报时，最好的挖掘地点之一是StackOverflow。

无论是否是罪犯，在这些操作背后，终究是人类在开发产品并遇到调试代码的困难。

2019年9月25日，一位使用昵称Sajan Maharjan的用户开启了一个新线程，请求帮助调试比特币节点的实现：

[点击查看完整尺寸图片] StackOverflow帖子截图

在这里我们可以看到原始发帖人粘贴了一些代码，提到HOST = “5.182.39[.]200”；。奇怪的是，Nemty IP当时也打开了8333端口。

该StackOverflow用户似乎在使用JavaScript库和UI开发，并居住在韩国，而Nemty在2019年在该地区最为活跃。这些元素可能表明该用户与Nemty操作的后端开发人员有关。

这类错误很好地提醒了StackOverflow上暴露数据的力量。这不是第一个犯此错误的行为者，他也不会是最后一个。

结论

本文试图记录2019/2020年Nemty的联盟模式和参与者，以便于未来调查这些犯罪分子可能使用的新威胁。

有关Nemty的完整历史和技术细节，我建议阅读McAfee研究人员撰写的论文：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/

附录

在IP 5.182.39[.]200上观察到的虚拟主机：

• nemty[.]top
• nemty[.]hk
• nemty10[.]hk

早期Nemty变更日志（从俄语翻译）：

• 2019.08.20 16:56:51 发布日期 面板准备就绪 加密器准备就绪
• 2019.08.22 07:22:55 更新1.0.1 & 1.0.2 修复构建器页面 添加页面加载器 在僵尸程序页面添加驱动器部分
• 2019.08.24 09:32:35 更新1.1 & 1.0.3 勒索软件：由于线程异步化，加密速度显著提高 扩展名改为.NEMTY{filkeid}_ 网页面板：添加简单标签如"@admin"（管理员会来） 修复一些错误
• 2019.08.25 09:15:29 警告更新构建
• 2019.08.26 08:09:48 更新您的构建 实际版本—1.3
• 2019.08.26 08:49:57 重要阅读事项 现在有两个来自不同国家的受害者被攻击，两人写道：伙计，测试解密不起作用，但我付不起这么多钱，因为我不是有钱人。我去寻找问题，为什么他们无法解密文件。找到他们试图解密的文件。由于我在文件末尾留下加密密钥和文件扩展名，我注意到文件扩展名与上传到网站的不匹配，因此无法解密该文件。决定在文件体中添加扩展名检查，今天将可用。
• 2019.08.28 12:56:42 更新勒索软件 添加：无配置文件，所有内容在勒索说明中 修复CD-ROM
• 2019.08.29 19:50:38 安全警告 检查您的BTC地址，如果设置中没有BTC地址，受害者将无法打开支付页面
• 2019.08.31 06:51:19 更新 添加任何消息的保存
• 2019.09.06 11:19:58 勒索软件更新 在加密文件之前，受害者将出现在面板中
• 2019.09.09 08:46:37 迷你更新 更新构建，现在勒索软件将跳过具有"nemty"、“exe”、“log”、“cab”、“cmd”、“com”、“cpl”、“exe”、“ini”、“dll”、“url”、“ttf”、“url"扩展名的文件，甚至大写扩展名 添加进程终止：“sql”、“winword”、“wordpad”、“outlook”、“thunderbird”、“oracle”、“excel”、“onenote”、“virtualboxvm” 添加服务停止：“DbxSvc”、“OracleXETNSListener”、“OracleServiceXE”、“AcrSch2Svc”、“AcronisAgent”、“Apache2.4”、“SQLWriter”、“MSSQL$SQLEXPRESS”、“MSSQLServerADHelper100”、“MongoDB”、“SQLAgent$SQLEXPRESS”、“SQLBrowser” 如果您想扩展这些列表—管理员jabber是nemty@thesecure.biz
• 2019.09.24 05:35:24 更新1.5 FastFlux
• 2019.09.27 09:05:57 清理 旧僵尸程序因无用而被删除
• 2019.10.02 15:28:23 1.6 勒索软件更新 更改加密算法 添加自己的密钥生成器（非伪密钥）
• 2019.10.10 08:25:03 更新构建 如果没有互联网，它将无法获取IP，结果面板将无法检测IP字符串并提供错误的配置文件 因此更新构建，所有没有互联网或未收到IP的僵尸程序将来自澳大利亚IP 1.1.1.1