國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）聯(lián)合國(guó)內(nèi)頭部安全企業(yè)成立“中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟勒索軟件防范應(yīng)對(duì)專業(yè)工作組”，從勒索軟件信息通報(bào)、情報(bào)共享、日常防范、應(yīng)急響應(yīng)等方面開(kāi)展勒索軟件防范應(yīng)對(duì)工作，并定期發(fā)布勒索軟件動(dòng)態(tài)，本周動(dòng)態(tài)信息如下：

　　一

　　勒索軟件樣本捕獲情況

　　本周勒索軟件防范應(yīng)對(duì)工作組共收集捕獲勒索軟件樣本39257個(gè)，監(jiān)測(cè)發(fā)現(xiàn)勒索軟件網(wǎng)絡(luò)傳播2435次，勒索軟件下載IP地址219個(gè)，其中，位于境內(nèi)的勒索軟件下載地址97個(gè)，占比44.3%，位于境外的勒索軟件下載地址122個(gè)，占比55.7%。

　　二

　　勒索軟件受害者情況

　　（一）Wannacry勒索軟件感染情況

　　本周，監(jiān)測(cè)發(fā)現(xiàn)3216起我國(guó)單位設(shè)施感染W(wǎng)annacry勒索軟件事件，累計(jì)感染61632次，與其它勒索軟件家族相比，Wannacry仍然依靠“永恒之藍(lán)”漏洞（MS17-010）占據(jù)勒索軟件感染量榜首，盡管Wannacry勒索軟件在聯(lián)網(wǎng)環(huán)境下無(wú)法觸發(fā)加密，但其感染數(shù)據(jù)反映了當(dāng)前仍存在大量主機(jī)沒(méi)有針對(duì)常見(jiàn)高危漏洞進(jìn)行合理加固的現(xiàn)象。

　　政府部門、教育科研、衛(wèi)生健康、互聯(lián)網(wǎng)行業(yè)成為Wannacry勒索軟件主要攻擊目標(biāo)，從另一方面反應(yīng)，這些行業(yè)中存在較多未修復(fù)“永恒之藍(lán)”漏洞的設(shè)備。

　?。ǘ┢渌账鬈浖腥厩闆r

　　本周勒索軟件防范應(yīng)對(duì)工作組接收或監(jiān)測(cè)發(fā)現(xiàn)162起非Wannacry勒索軟件感染事件，排在前三名的勒索軟件家族分別為locky（16%）、GandCrab（16%）和hauhitec（15%）

　　本周，被勒索軟件感染的系統(tǒng)中Windows7系統(tǒng)比例占比較高，占到總量的44%，其次為Windows10系統(tǒng)，除此之外還包括少量Windows服務(wù)器系統(tǒng)。

　　三

　　典型勒索軟件攻擊事件

　?。ㄒ唬﹪?guó)內(nèi)部分

　　1、YourData勒索軟件正在利用“匿影”僵尸網(wǎng)絡(luò)大肆傳播

　　近期，安全研究人員發(fā)現(xiàn)，YourData勒索軟件正通過(guò)“匿影”僵尸網(wǎng)絡(luò)在國(guó)內(nèi)大肆傳播，對(duì)個(gè)人電腦的威脅愈加強(qiáng)烈。

　　YourData勒索軟件又被稱作Hakbit、Thanos家族，最早出現(xiàn)于2019年11月。但在今年1月之前，國(guó)內(nèi)極少出現(xiàn)被該病毒或變種攻擊案例。2021年1月開(kāi)始在國(guó)內(nèi)出現(xiàn)該家族的變種。

　　在前幾個(gè)月的病毒傳播中，該病毒家族主要采用的攻擊手段是RDP爆破，在爆破成功后會(huì)進(jìn)行手動(dòng)投毒，為每一個(gè)受害用戶生成專屬頁(yè)面。從今年7月開(kāi)始，該病毒家族開(kāi)始通過(guò)“匿影”僵尸網(wǎng)絡(luò)進(jìn)行傳播，在10月開(kāi)始出現(xiàn)大面積感染的情況。

　　“匿影”僵尸網(wǎng)絡(luò)將病毒捆綁在非正規(guī)渠道的BT下載器、安裝包、激活/破解軟件等工具中，當(dāng)用戶安裝使用這些工具時(shí)，“匿影”將會(huì)下載釋放各類病毒，感染用戶設(shè)備，同時(shí)還將利用被感染設(shè)備進(jìn)行橫向移動(dòng)。

　　2、Magniber通過(guò)色情網(wǎng)站吸引用戶，利用IE漏洞進(jìn)行傳播

　　11月10日消息，Magniber勒索軟件攻擊事件頻發(fā)，利用IE瀏覽器漏洞進(jìn)行無(wú)文件傳播。

　　Magniber是一種利用 IE 漏洞的無(wú)文件勒索軟件，于2017年開(kāi)始作為Cerber勒索軟件的繼承者，最初只感染韓國(guó)的用戶，近期在國(guó)內(nèi)有大肆傳播趨勢(shì)。

　　該勒索軟件自3月15號(hào)以來(lái)，利用CVE-2021-26411漏洞進(jìn)行分發(fā)傳播，在9月14日微軟推送了安全補(bǔ)丁之后，于近日被發(fā)現(xiàn)增加對(duì)CVE-2021-40444漏洞的利用。在被感染后，該病毒還會(huì)利用PrintNightmare漏洞進(jìn)行提權(quán)。

　　安全人員分析表示，該勒索軟件團(tuán)伙主要在色情網(wǎng)站的廣告位投放帶有攻擊代碼的廣告，在用戶訪問(wèn)到廣告時(shí)，就可能會(huì)中招，感染勒索軟件。

　　（二）國(guó)外部分

　　1、美國(guó)國(guó)務(wù)院對(duì)多個(gè)勒索軟件作者發(fā)出千萬(wàn)美元懸賞

　　本周，美國(guó)國(guó)務(wù)院的“跨國(guó)有組織犯罪獎(jiǎng)勵(lì)計(jì)劃（TOCRP）”對(duì)外發(fā)出懸賞。該懸賞稱最高可提供1000萬(wàn)美元用于識(shí)別、定位Sodinokibi（REvil）勒索軟件家族或DarkSide勒索軟件家族的制作組織主要成員，另外還對(duì)能夠提供定位任何參與過(guò)這兩家勒索軟件攻擊事件的人員信息的舉報(bào)者500萬(wàn)美元的獎(jiǎng)勵(lì)。

　　該計(jì)劃主要用于打擊各種跨國(guó)的有組織犯罪集團(tuán)，定位組織的關(guān)鍵領(lǐng)導(dǎo)人。除了上述有針對(duì)性的對(duì)兩個(gè)勒索軟件家族提出懸賞外，該計(jì)劃還懸賞1000萬(wàn)美元，獎(jiǎng)勵(lì)有國(guó)家資助的黑客攻擊美國(guó)基礎(chǔ)設(shè)施的相關(guān)信息舉報(bào)者。

　　2、羅馬尼亞警方逮捕REvil相關(guān)嫌疑人

　　11月8日消息，兩名REvil勒索軟件團(tuán)伙相關(guān)人員于11月4日在羅馬尼亞被捕，據(jù)稱被捕二人應(yīng)對(duì)遭其勒索軟件攻擊感染的數(shù)千名受害者負(fù)責(zé)。目前，布加勒斯特法庭已下令對(duì)兩名被捕嫌疑人進(jìn)行30天的審前拘留。

　　同期，科威特當(dāng)局還逮捕了一個(gè)GandGrab勒索軟件團(tuán)伙關(guān)聯(lián)組織，其中三人涉嫌發(fā)起了近7000次勒索軟件攻擊，索要贖金超2億歐元。今年年初以來(lái)，另有三名被認(rèn)為是REvil勒索軟件團(tuán)伙關(guān)聯(lián)組織的人員分別在韓國(guó)、歐洲被警方逮捕，一定程度上遏制了勒索軟件的勢(shì)頭。

　　3、德國(guó)醫(yī)療軟件提供商Medatixx遭受勒索軟件攻擊

　　本周披露，11月初，德國(guó)醫(yī)療軟件巨頭Medatixx遭到勒索攻擊，影響了醫(yī)療機(jī)構(gòu)的內(nèi)部 IT 系統(tǒng)，導(dǎo)致其運(yùn)營(yíng)系統(tǒng)癱瘓。攻擊者很可能在攻擊過(guò)程中竊取了 Medatixx 客戶的密碼。因此11月9日，Medatixx披露了此次攻擊，敦促用戶重置密碼。德國(guó)大約 25% 的醫(yī)療中心使用了 Mediatixx 解決方案，此次勒索攻擊可能是德國(guó)醫(yī)療系統(tǒng)有史以來(lái)遭受的最嚴(yán)重的網(wǎng)絡(luò)攻擊。

　　4、歐洲電子零售巨頭MediaMarkt遭Hive勒索軟件攻擊

　　電子零售巨頭MediaMarkt在當(dāng)?shù)貢r(shí)間11月7日至11月8日期間，遭到勒索軟件攻擊。其服務(wù)器及工作站等設(shè)備數(shù)據(jù)被加密，最終公司只能關(guān)閉IT系統(tǒng)以阻止事態(tài)蔓延。據(jù)了解，此次攻擊影響了整個(gè)歐洲的眾多零售店，其中荷蘭和德國(guó)的相關(guān)商店受影響最嚴(yán)重，運(yùn)營(yíng)一度中斷。

　　根據(jù)目前公開(kāi)的消息，受到此次攻擊影響的共有3100余臺(tái)服務(wù)器。而攻擊的幕后黑手可能是Hive勒索軟件，該病毒對(duì)MediaMarkt開(kāi)出了高達(dá)2.4億美元的巨額贖金。

　　2021年6月，Hive勒索軟件首次出現(xiàn)在大眾視野，和成名已久的勒索軟件相似，都是通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)開(kāi)展網(wǎng)絡(luò)攻擊行動(dòng)。一旦獲得攻擊目標(biāo)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，立即通過(guò)網(wǎng)絡(luò)橫向傳播，同時(shí)竊取未加密的文件用于敲詐勒索。

　　另外，當(dāng)攻擊者獲得Windows域控制器的管理員訪問(wèn)權(quán)限時(shí)，會(huì)在整個(gè)網(wǎng)絡(luò)中部署勒索軟件用于加密所有設(shè)備。

　　四

　　威脅情報(bào)

　　MD5

　　8fa81c255de6369047674e112f8da58f

　　bfa8d66509e07faba724dc0f9035c0d3

　　b52bd4632956921b14bbdc8ca778fa25

　　db0dbd31d75cf146b3c400282e6bb40a

　　ad6687656ce8c983e53246f2941fb384

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　9e609932c59d043565c5d3e5260f571b

　　域名

　　vyewxn2lkxrihikeunagqqoakralogk5ze5vaxrkahvkjdug6rcwdsqd.onion

　　Fitdbud.uno

　　paymenthacks.com

　　nowautomation.com

　　fluentzip.org

　　mojobiden.com

　　郵箱

　　coronaviryz@gmail.com

　　korona@bestkoronavirus.com

　　coronavirus@exploit.im

　　anton_rozhko1991.05@mail.ru