工行勒索事件风波未平

中国能源建设集团公司又被Rhysida勒索组织盯上

11月25日，江民反病毒实验室监测到，Rhysida 勒索软件团伙将中国能源建设集团公司添加到其 Tor 泄露网站的受害者名单中，并在暗网以50比特币（BTC）的价格出售该公司的"独家重要数据"。Rhysida勒索软件团伙还宣布将在7天内公开发布数据。

从黑客发布的截图上来看，此次泄露的数据包含了设计图纸、财务状况和员工个人身份信息等。

中国能源建设集团有限公司（以下简称“中国能建”，缩写ceec）成立于2011年9月29日，是中国最大的综合能源公司之一，是经国务院批准、由国务院国有资产监督管理委员会直接管理的特大型能源建设集团，由中国葛洲坝集团公司、中国电力工程顾问集团公司（电力规划设计总院）和中国南方电网有限责任公司所属15个省（市、区）的电力勘察设计、施工和修造企业组成。 

根据江民反病毒实验室监测到的信息，自2023年5月Rhysida勒索软件成立以来，该勒索软件组织在不到六个月的时间里攻击了至少62家公司，涉及教育、医疗、制造、信息技术和政府等多个行业。他们采用勒索软件即服务(RaaS)模式，由勒索软件的开发和提供者、操作勒索软件所需的基础设施以及对受害者执行攻击的附属机构组成，此前还曾攻击过大英博物馆，并要挟74万美元赎金。

Rhysida的主要攻击手段：

Rhysida主要的攻击方式是网络钓鱼，该组织依靠泄露的凭据对内部VPN接入点进行身份验证。根据江民反病毒实验室发布的报告显示，Rhysida擅长利用Microsoft Netlogon远程协议中的Zerologon漏洞(CVE-2020-1472)进行网络钓鱼。此外，Rhysida常见的攻击工具还有：cmd.exe、PowerShell.exe、PsExec.exe、mstsc.exe、PuTTY.exe、PortStarter、secretsdump、ntdsutil.exe、AnyDesk、wevtutil.exe、PowerView。

对于企业用户来说，需要尽快采取行动来保护自己的数据和信息安全。

江民反病毒实验室给出的对抗防御措施：

1、安装江民反病毒产品并将病毒库升级为最新版本，并定期进行全盘扫描。

2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。

3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。

4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。

5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。

如果公司确实遭受了攻击，应考虑向相关的监管机构报告，并寻求他们的帮助和建议。

最后，对于所有公司来说，保护数据和信息安全是非常重要的。公司应该采取必要的措施来确保数据的安全性，包括实施强大的安全策略、定期备份数据、培训员工等。只有这样，才能有效地防止和应对类似的网络攻击。

参考阅读：江民赤豹反病毒：发现并阻止Rhysida新型勒索软件