8月19日，Abnormal Security发布报告称：“发件人告诉公司员工，如果他们能够在公司计算机或Windows服务器上部署勒索软件，就可以收到价值100万美元的比特币，即250万美元赎金的40%。雇员被告知：勒索软件可以物理启动或远程启动。如果员工感兴趣的话，发件人还提供了两种联系方式：Outlook邮件账户和Telegram用户名。”

　　Black Kingdom又名DemonWare和DEMON，今年3月初就引起了安全界的注意，当时黑客利用影响微软Exchange服务器的ProxyLogon缺陷往未打补丁的系统上植入此勒索软件。

　　Abnormal Security在8月12日检测并阻止了网络钓鱼邮件，通过创建虚拟人物回应了招募，并在Telegram Messenger上联系了黑客，使其无意中泄露了攻击手法，其中包括两个可执行勒索软件载荷的下载链接，可供“雇员”通过WeTransfer或Mega.nz下载。

　　Abnormal Security威胁情报总监Crane Hassold称：“黑客还指示我们处理.EXE文件，将其从回收站中删除。根据黑客的回复，我们明显可以看出，1）他希望雇员能够物理接触服务器，2）他不太熟悉数字取证或事件响应调查。”

　　除了赎金要求十分灵活，据说该计划还是由尼日利亚拉各斯一家名为Sociogram的社交网络初创公司的首席执行官炮制的，目的是利用抽走的资金“建立我自己的公司”。在五天时间的聊天过程中，那人甚至称自己是“下一个马克·扎克伯格”。

　　需要特别指出的还有使用LinkedIn收集高管企业电子邮件地址的方法，这种方法再一次凸显出源自尼日利亚的商务电邮入侵（BEC）攻击如何继续演变，怎样使企业暴露在勒索软件等复杂攻击风险之下。

　　Tripwire产品管理与策略副总裁Tim Erlin称：“网络攻击与社会工程之间的界限总是十分模糊，整个案例正好体现了二者是如何交织的。随着用户越来越善于识别和规避网络钓鱼，看到攻击者采用新战术来实现其目标也就不足为奇了。”

　　“将心怀不满的内部人员视为网络安全威胁的想法不是新进冒出的。只要企业需要员工，就总存在内部人风险。分得一份赎金的承诺可能看上去很诱人，但这种共谋行为能够实际获得回报的保证几乎为零，而且接受攻击者报价的人也极有可能被抓住。”

参考阅读

网络安全心理学：防范公司内部的操纵者带来的安全威胁

[调查]企业安全最担心：勒索软件和网络钓鱼

[调查]勒索软件攻击数量和赎金要求数额双双暴涨