趋势科技分析勒索软件的演进：骇客胃口愈来愈大，Nefilim只锁定年营收约10亿美元的企业

资安业者趋势科技本周发表一份有关勒索软件的研究报告，指出勒索软件已从2010年只攻击单机进化到攻击企业的整个网络，且骇客的胃口愈来愈大，所要求的赎金从最早的100美元到现在的数十万美元，去年现身的Nefilim甚至只锁定年营收约10亿美元的受害者展开攻击。

趋势科技的此份报告主要是为了彰显现代勒索软件集团的能力，并以Nefilim作为例子。Nefilim又被称为Nephilim，是在2020年3月问世，该公司的研究人员相信负责开发与推广Nemty勒索软件的骇客组织jsworm及Jingo，至少都参与了Nefilim的早期运作，而这两个组织都是说俄语的。

研究人员形容，Nefilim集团的攻击行动更像是心怀不轨的专业渗透测试人员，拥有必要的工具、技术与动机，透过网钓、市售的凭证与攻击工具，或是直接开采安全漏洞来入侵目标对象。

调查显示，Nefilim骇客会先扫描企业的网络架构是否含有未修补的安全漏洞，或利用市售的凭证入侵企业网络，继之开采企业网络上的已知漏洞，取得更高的权限以于企业网络中游移，再伺机安装勒索软件。Nefilim骇客曾经开采Citrix应用程序交付控制器（Application Delivery Controller，ADC）的CVE-2019-19781远端程式攻击漏洞，以及位于微软元件物件模型（COM）中的CVE-2017-0213权限扩张漏洞。

此外，Nefilim骇客很明显地锁定年营收超过10亿美元的企业，其目标对象的营收中位数为8.9亿美元，是趋势科技所分析的17款勒索软件中最高的，第二、三名分别是C10p的8.8亿美元与Mount Locker的7.41亿美元。

Nefilim的攻击目标主要位于北美与南美，但有时也会相中欧洲、亚洲与大洋洲的企业。此外，Nefilim也擅长双重勒索，亦即在入侵目标对象之后，先搜寻及下载企业的机密文件，再将其加密，并于网络上公布受害者的机密文件，同时以加密及外泄机密文件作为勒索的筹码，并宣称企业若不支付赎金，将会公布更多机密文件。

值得注意的是，许多勒索软件骇客只把机密文件公布在Tor网络上，但有些骇客甚至让它们流落在可免费分享的公开网络上。

专门提供勒索软件受害者咨询服务的Coveware指出，Nefilim专门锁定中大型的企业，而且也会依照受害者的能力来提出赎金的要求，支付给Nefilim骇客的平均赎金高达701,494美元。根据Coveware今年第一季的统计，该季勒索软件受害者平均支付的赎金为220,298美元，为Nefilim受害者的1/3。

趋势科技建议应该要及时修补安全漏洞，部署入侵防御系统，也必须定期扫描网络与漏洞，确保账号的安全性，以防范勒索软件攻击，意外发生后亦应展开全面调查以避免再遭攻击。