您所在的位置: 首頁 >
安全研究 >
安全通告 >
鄭州金瀚信息: 一周勒索威脅摘要
2020.06.15 – 2020.06.19
一周勒索事件相關(guān)情報
1. 黑客對LockBit發(fā)起的夏日活動興趣濃厚,已有多人投稿
2. 諾克斯維爾市遭受到了勒索軟件的攻擊被迫關(guān)閉網(wǎng)絡(luò)
3. 新的RAAS工具“Thanos”與Hakbit勒索軟件存在關(guān)聯(lián)
4. 電力公司Enel Group被Snake勒索軟件攻擊
5. 開關(guān)行業(yè)領(lǐng)頭羊snaptron公司核心數(shù)據(jù)被sodinokibi團伙拍賣
一周勒索態(tài)勢
Top 3勒索家族每日查詢情況圖如下:
流行勒索家族各自占總查詢數(shù)的比例如下:
一周勒索事件相關(guān)情報
1. 黑客對LockBit發(fā)起的夏日活動興趣濃厚,已有多人投稿
情報來源:論壇
目前在該板塊下投稿的數(shù)量新增8篇,一共達到16篇。
有的參與者錄制了長達近一個小時的視頻展示如何從服務(wù)器配置到獲取開源郵箱再到發(fā)送垃圾郵件的全過程。
值得注意的是,有一篇是介紹如何使用Censys、Shodan、Zoomeye等搜索引擎與ExploitDB相結(jié)合批量獲取目標主機,分享了腳本源代碼,經(jīng)過研判危害較大。
2. 諾克斯維爾市遭受到了勒索軟件的攻擊被迫關(guān)閉網(wǎng)絡(luò)
情報來源:https://twitter.com/KnoxGov/status/1271148958174281728
政府官方號發(fā)布的通告如下:
facebook賬號的聲明如下
據(jù)悉諾克斯維爾人口超過18萬,關(guān)閉網(wǎng)絡(luò)后消防部門和警察部門并未受到太大的影響,但相關(guān)人員無法訪問該市的網(wǎng)絡(luò),經(jīng)過排查發(fā)現(xiàn)并沒有泄露數(shù)據(jù)。
3. 新的RAAS工具“Thanos”與Hakbit勒索軟件存在關(guān)聯(lián)
情報來源:https://www.recordedfuture.com/thanos-ransomware-builder/
Insikt Group團隊在黑客論壇發(fā)現(xiàn)一款名為“Thanos”的工具正在被出售,使用C#編寫,帶有混淆功能以及更高級的選項如RIPlace技術(shù),用于規(guī)避殺軟的勒索檢測模塊。通過代碼基因的相似性,研究人員判斷“Thanos”和Hakbit家族存在關(guān)聯(lián)性,有些代碼和核心功能被重用。界面如下:
客戶端功能如下:
4. 電力公司Enel Group被Snake勒索軟件攻擊
情報來源:
https://www.bleepingcomputer.com/news/security/power-company-enel-group-suffers-snake-ransomware-attack/
繼上周本田攻擊之后,Enel Group也遭到了Snake團伙的攻擊,本次攻擊的Snake樣本代碼結(jié)構(gòu)與攻擊本田的類似,都會請求指定公司的域,如果失敗就退出。
據(jù)了解Snake勒索軟件應(yīng)該是通過RDP爆破的方式進入公司內(nèi)網(wǎng),并投放勒索的。
5. 開關(guān)行業(yè)領(lǐng)頭羊snaptron公司核心數(shù)據(jù)被sodinokibi團伙拍賣
情報來源:暗網(wǎng)
Snaptron公司成立于1990年,專門服務(wù)于薄膜開關(guān)以及其他開關(guān)行業(yè),團隊擁有超過125年的設(shè)計經(jīng)驗,sodinokibi團伙在博客上稱,竊取了該公司120G的數(shù)據(jù)文件。
其中包括了產(chǎn)品零件、客戶信息、產(chǎn)品技術(shù)文檔和一些新老項目信息。
起拍價五萬美元。
安全建議
金瀚信息建議廣大政企單位從以下角度提升自身的勒索病毒防范能力:
1.及時修復(fù)系統(tǒng)漏洞,做好日常安全運維。
2.采用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。
3.定期備份重要資料,建議使用單獨的文件服務(wù)器對備份文件進行隔離存儲。
4.加強安全配置提高安全基線,例如關(guān)閉不必要的文件共享,關(guān)閉3389、445、139、135等不用的高危端口等。
5.提高員工安全意識,不要點擊來源不明的郵件,不要從不明網(wǎng)站下載軟件。
6.選擇技術(shù)能力強的殺毒軟件,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。