2020.06.15 – 2020.06.19

　　一周勒索事件相關(guān)情報(bào)

　　1. 黑客對(duì)LockBit發(fā)起的夏日活動(dòng)興趣濃厚，已有多人投稿

　　2. 諾克斯維爾市遭受到了勒索軟件的攻擊被迫關(guān)閉網(wǎng)絡(luò)

　　3. 新的RAAS工具“Thanos”與Hakbit勒索軟件存在關(guān)聯(lián)

　　4. 電力公司Enel Group被Snake勒索軟件攻擊

　　5. 開(kāi)關(guān)行業(yè)領(lǐng)頭羊snaptron公司核心數(shù)據(jù)被sodinokibi團(tuán)伙拍賣(mài)

一周勒索態(tài)勢(shì)

　　Top 3勒索家族每日查詢(xún)情況圖如下：

　　流行勒索家族各自占總查詢(xún)數(shù)的比例如下：

一周勒索事件相關(guān)情報(bào)

　　1. 黑客對(duì)LockBit發(fā)起的夏日活動(dòng)興趣濃厚，已有多人投稿

　　情報(bào)來(lái)源：論壇

　　目前在該板塊下投稿的數(shù)量新增8篇，一共達(dá)到16篇。

　　有的參與者錄制了長(zhǎng)達(dá)近一個(gè)小時(shí)的視頻展示如何從服務(wù)器配置到獲取開(kāi)源郵箱再到發(fā)送垃圾郵件的全過(guò)程。

　　值得注意的是，有一篇是介紹如何使用Censys、Shodan、Zoomeye等搜索引擎與ExploitDB相結(jié)合批量獲取目標(biāo)主機(jī)，分享了腳本源代碼，經(jīng)過(guò)研判危害較大。

　　2. 諾克斯維爾市遭受到了勒索軟件的攻擊被迫關(guān)閉網(wǎng)絡(luò)

　　情報(bào)來(lái)源：https://twitter.com/KnoxGov/status/1271148958174281728

政府官方號(hào)發(fā)布的通告如下：

　　facebook賬號(hào)的聲明如下

　　據(jù)悉諾克斯維爾人口超過(guò)18萬(wàn)，關(guān)閉網(wǎng)絡(luò)后消防部門(mén)和警察部門(mén)并未受到太大的影響，但相關(guān)人員無(wú)法訪(fǎng)問(wèn)該市的網(wǎng)絡(luò)，經(jīng)過(guò)排查發(fā)現(xiàn)并沒(méi)有泄露數(shù)據(jù)。

　　3. 新的RAAS工具“Thanos”與Hakbit勒索軟件存在關(guān)聯(lián)

　　情報(bào)來(lái)源：https://www.recordedfuture.com/thanos-ransomware-builder/

　　Insikt Group團(tuán)隊(duì)在黑客論壇發(fā)現(xiàn)一款名為“Thanos”的工具正在被出售，使用C#編寫(xiě)，帶有混淆功能以及更高級(jí)的選項(xiàng)如RIPlace技術(shù)，用于規(guī)避殺軟的勒索檢測(cè)模塊。通過(guò)代碼基因的相似性，研究人員判斷“Thanos”和Hakbit家族存在關(guān)聯(lián)性，有些代碼和核心功能被重用。界面如下：

　　客戶(hù)端功能如下：

　　4. 電力公司Enel Group被Snake勒索軟件攻擊

　　情報(bào)來(lái)源：

　　https://www.bleepingcomputer.com/news/security/power-company-enel-group-suffers-snake-ransomware-attack/

　　繼上周本田攻擊之后，Enel Group也遭到了Snake團(tuán)伙的攻擊，本次攻擊的Snake樣本代碼結(jié)構(gòu)與攻擊本田的類(lèi)似，都會(huì)請(qǐng)求指定公司的域，如果失敗就退出。

　　據(jù)了解Snake勒索軟件應(yīng)該是通過(guò)RDP爆破的方式進(jìn)入公司內(nèi)網(wǎng)，并投放勒索的。

　　5. 開(kāi)關(guān)行業(yè)領(lǐng)頭羊snaptron公司核心數(shù)據(jù)被sodinokibi團(tuán)伙拍賣(mài)

　　情報(bào)來(lái)源：暗網(wǎng)

　　Snaptron公司成立于1990年，專(zhuān)門(mén)服務(wù)于薄膜開(kāi)關(guān)以及其他開(kāi)關(guān)行業(yè)，團(tuán)隊(duì)擁有超過(guò)125年的設(shè)計(jì)經(jīng)驗(yàn)，sodinokibi團(tuán)伙在博客上稱(chēng)，竊取了該公司120G的數(shù)據(jù)文件。

　　其中包括了產(chǎn)品零件、客戶(hù)信息、產(chǎn)品技術(shù)文檔和一些新老項(xiàng)目信息。

　　起拍價(jià)五萬(wàn)美元。

安全建議

　　金瀚信息建議廣大政企單位從以下角度提升自身的勒索病毒防范能力：

　　1.及時(shí)修復(fù)系統(tǒng)漏洞，做好日常安全運(yùn)維。

　　2.采用高強(qiáng)度密碼，杜絕弱口令，增加勒索病毒入侵難度。

　　3.定期備份重要資料，建議使用單獨(dú)的文件服務(wù)器對(duì)備份文件進(jìn)行隔離存儲(chǔ)。

　　4.加強(qiáng)安全配置提高安全基線(xiàn)，例如關(guān)閉不必要的文件共享，關(guān)閉3389、445、139、135等不用的高危端口等。

　　5.提高員工安全意識(shí)，不要點(diǎn)擊來(lái)源不明的郵件，不要從不明網(wǎng)站下載軟件。

　　6.選擇技術(shù)能力強(qiáng)的殺毒軟件，以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。