2020.06.15 – 2020.06.19

　　一周勒索事件相关情报

　　1. 黑客对LockBit发起的夏日活动兴趣浓厚，已有多人投稿

　　2. 诺克斯维尔市遭受到了勒索软件的攻击被迫关闭网络

　　3. 新的RAAS工具“Thanos”与Hakbit勒索软件存在关联

　　4. 电力公司Enel Group被Snake勒索软件攻击

　　5. 开关行业领头羊snaptron公司核心数据被sodinokibi团伙拍卖

一周勒索态势

　　Top 3勒索家族每日查询情况图如下：

　　流行勒索家族各自占总查询数的比例如下：

一周勒索事件相关情报

　　1. 黑客对LockBit发起的夏日活动兴趣浓厚，已有多人投稿

　　情报来源：论坛

　　目前在该板块下投稿的数量新增8篇，一共达到16篇。

　　有的参与者录制了长达近一个小时的视频展示如何从服务器配置到获取开源邮箱再到发送垃圾邮件的全过程。

　　值得注意的是，有一篇是介绍如何使用Censys、Shodan、Zoomeye等搜索引擎与ExploitDB相结合批量获取目标主机，分享了脚本源代码，经过研判危害较大。

　　2. 诺克斯维尔市遭受到了勒索软件的攻击被迫关闭网络

　　情报来源：https://twitter.com/KnoxGov/status/1271148958174281728

政府官方号发布的通告如下：

　　facebook账号的声明如下

　　据悉诺克斯维尔人口超过18万，关闭网络后消防部门和警察部门并未受到太大的影响，但相关人员无法访问该市的网络，经过排查发现并没有泄露数据。

　　3. 新的RAAS工具“Thanos”与Hakbit勒索软件存在关联

　　情报来源：https://www.recordedfuture.com/thanos-ransomware-builder/

　　Insikt Group团队在黑客论坛发现一款名为“Thanos”的工具正在被出售，使用C#编写，带有混淆功能以及更高级的选项如RIPlace技术，用于规避杀软的勒索检测模块。通过代码基因的相似性，研究人员判断“Thanos”和Hakbit家族存在关联性，有些代码和核心功能被重用。界面如下：

　　客户端功能如下：

　　4. 电力公司Enel Group被Snake勒索软件攻击

　　情报来源：

　　https://www.bleepingcomputer.com/news/security/power-company-enel-group-suffers-snake-ransomware-attack/

　　继上周本田攻击之后，Enel Group也遭到了Snake团伙的攻击，本次攻击的Snake样本代码结构与攻击本田的类似，都会请求指定公司的域，如果失败就退出。

　　据了解Snake勒索软件应该是通过RDP爆破的方式进入公司内网，并投放勒索的。

　　5. 开关行业领头羊snaptron公司核心数据被sodinokibi团伙拍卖

　　情报来源：暗网

　　Snaptron公司成立于1990年，专门服务于薄膜开关以及其他开关行业，团队拥有超过125年的设计经验，sodinokibi团伙在博客上称，窃取了该公司120G的数据文件。

　　其中包括了产品零件、客户信息、产品技术文档和一些新老项目信息。

　　起拍价五万美元。

安全建议

　　金瀚信息建议广大政企单位从以下角度提升自身的勒索病毒防范能力：

　　1.及时修复系统漏洞，做好日常安全运维。

　　2.采用高强度密码，杜绝弱口令，增加勒索病毒入侵难度。

　　3.定期备份重要资料，建议使用单独的文件服务器对备份文件进行隔离存储。

　　4.加强安全配置提高安全基线，例如关闭不必要的文件共享，关闭3389、445、139、135等不用的高危端口等。

　　5.提高员工安全意识，不要点击来源不明的邮件，不要从不明网站下载软件。

　　6.选择技术能力强的杀毒软件，以便在勒索病毒攻击愈演愈烈的情况下免受伤害。