國家互聯網應急中心(CNCERT/CC)勒索軟件動態周報-20211218-20211224 - 網安

國家互聯網應急中心（CNCERT/CC）聯合國內頭部安全企業成立“中國互聯網網絡安全威脅治理聯盟勒索軟件防范應對專業工作組”，從勒索軟件信息通報、情報共享、日常防范、應急響應等方面開展勒索軟件防范應對工作，并定期發布勒索軟件動態，本周動態信息如下：

一、勒索軟件樣本捕獲情況

本周勒索軟件防范應對工作組共收集捕獲勒索軟件樣本714121個，監測發現勒索軟件網絡傳播798次，勒索軟件下載IP地址39個，其中，位于境內的勒索軟件下載地址24個，占比61.5%，位于境外的勒索軟件下載地址15個，占比38.5%。

二、勒索軟件受害者情況

（一）Wannacry勒索軟件感染情況

本周，監測發現5417起我國單位設施感染Wannacry勒索軟件事件，較上周上升32.6%，累計感染91947次，較上周下降11.2%。與其它勒索軟件家族相比，Wannacry仍然依靠“永恒之藍”漏洞（MS17-010）占據勒索軟件感染量榜首，盡管Wannacry勒索軟件在聯網環境下無法觸發加密，但其感染數據反映了當前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現象。

政府部門、教育科研、電信、互聯網、衛生健康行業成為Wannacry勒索軟件主要攻擊目標，從另一方面反映，這些行業中存在較多未修復“永恒之藍”漏洞的設備。

（二）其它勒索軟件感染情況

本周勒索軟件防范應對工作組自主監測、接收投訴或應急響應36起非Wannacry勒索軟件感染事件，較上周下降89.9%，排在前三名的勒索軟件家族分別為Magniber（22.2%）、Buran（13.9%）和PolyRansom（11.1%）。

本周，被勒索軟件感染的系統中Windows7系統占比較高，占到總量的63.9%，其次為Linux系統，占比為5.6%，多個版本的Windows 服務器系統包括Server 2012、Server 2008和Server 2019占比均為2.8%，除此之外還包括多個其它不同版本的Windows系統和其它類型的操作系統。

本周，勒索軟件入侵方式中，遠程桌面弱口令排在第一位，其次為掛馬網站和漏洞利用。Magniber勒索軟件利用掛馬網站和漏洞利用頻繁攻擊我國用戶，對我國企業和個人帶來較大安全威脅。

三、典型勒索軟件攻擊事件

（一）國內部分

1、上海某證券監管平臺服務器感染Tellyouthepass勒索軟件本周，工作組成員應急響應了上海某證券監管平臺服務器感染Tellyouthepass勒索軟件。攻擊者通過該服務器所運行Web應用程序中的Log4j組件漏洞（CVE-2021-44228），獲得了服務器控制權，進而植入勒索軟件。

此事件中，攻擊者利用存在已知漏洞的服務程序獲取服務器主機控制權后并植入勒索軟件。建議用戶及時升級軟件至最新版本或安裝補丁程序。

2、廣東某金融單位多臺服務器感染YourData勒索軟件

本周，工作組成員應急響應了廣東某金融單位多臺服務器感染YourData勒索軟件。攻擊者通過服務器漏洞獲得主機控制權并注入勒索軟件，并向內網中存在安全漏洞的主機傳播勒索軟件，共7臺業務服務器受到勒索軟件攻擊。

此事件中，攻擊者利用對外網開放的服務器中的安全漏洞獲取服務器主機控制權后植入勒索軟件，并在內網中橫向移動。建議用戶及時升級軟件至最新版本或安裝補丁，此外，規劃和實施網絡隔離、健全安全審計體系也是緩解此類風險的重要手段。

（二）國外部分

1、Clop勒索軟件團伙在暗網上發布英國警方掌握的機密數據

Clop勒索軟件團伙在對IT服務提供商Dacoll進行了一次成功的網絡釣魚攻擊后，獲取了大量資料，包括由Dacoll負責管理的英國警方國家計算中心(PNC)上的數據。在Dacoll拒絕支付贖金后，攻擊者在暗網中上傳了數百份文件。在上傳的PNC文件中，有來自英國國家自動車牌識別系統(ANPR)的司機特寫照片。執法機構表示其持有的數據遭到泄露將帶來嚴重的后果，這些敏感數據可能擾亂刑事調查，更為嚴重的是，這些信息如果落入不法分子手中，將給犯罪受害者和證人帶來嚴重風險。

四、威脅情報

域名

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

139.60.160.200

168.100.11.72

174.138.62.35

185.182.193.120

193.38.235.234

88.80.147.102

93.190.139.223

網址

http://38acfc18f86c6c406424ea780asndoxskw.laintin[.]uno/asndoxskw

http://e8a4ce20a890b460942c44701relemeh.mensell[.]uno/relemeh

http://e8a4ce20a890b460942c44701relemeh.forrain[.]fit/relemeh

http://e8a4ce20a890b460942c44701relemeh.luckymy[.]quest/relemeh

http://e8a4ce20a890b460942c44701relemeh.dayeven[.]space/relemeh

http://3cacc8c054f492c00ef4daa0bjmzyauun.forrain[.]fit/jmzyauun

http://9ac426c8ce3c7aa078d89ea83nkzlkvrpx.enddare[.]fit/nkzlkvrpx

http://9ac426c8ce3c7aa078d89ea83nkzlkvrpx.tillpop[.]uno/nkzlkvrpx

http://9ac426c8ce3c7aa078d89ea83nkzlkvrpx.wartell[.]quest/nkzlkvrpx

http://9ac426c8ce3c7aa078d89ea83nkzlkvrpx.soknew[.]space/nkzlkvrpx

http://kotob.top/dl/build2[.]exe

http://tzgl.org/files/1/build3[.]exe

http://tzgl.org/fhsgtsspen6/get[.]php?pid=F7E0EF544C5C35BFCBAE00FDCB4667E1&first=true

郵箱

encrypt11@cock.li

arnoldgladys88@gmx.com

willettamoffat@yahoo.com

code1024@keemail.me

malloxx@tutanota.com

GoodDay@privatemail.com

錢包地址

1CLmYDUjWtJeZPSujgfddGsg1D4DgRkHp3

19Kx5yAr7KhyUAb6G3CjjdnX9MzZems6GP

158yxcgryXCrCpCfAMBN39U5zsUdqmQaQm

15izxSPCQ2dVL3CKxi459nwamJ1PhEuipk

1DY3ft3Ny6XHgP7bEWW4Qgeu9iVWBZJo15

17ZDb4VQbuDWc5FutNwhNspFjS8vKdWdGK

1HkdZnTKrLjPw4vYHxEQLg4KVQe3ddDgac

173Ubc6dyhdS5o9q2mNja3nA2kvLBbpm11

14hCRYw9i5PF88eGEqH84GMKfkiZgJLTrd

1H6Jr2GATnnh6HPXTAP2az5JF6f4ApNSwP

CNCERT聯系方式：

010-82990999

cncert@cert.org.cn