本次勒索软件防范应对工作组共收集捕获勒索软件样本435872个，监测发现勒索软件网络传播4960次，勒索软件下载IP地址226个，其中，位于境内的勒索软件下载地址29个，占比12.8%，位于境外的勒索软件下载地址197个，占比87.2%。

 

（1）国内多家企业遭受泄密型勒索软件攻击

 

近日，LockBit、Haron、Conti等多个勒索软件家族频繁发动攻击，并对受害企业发起泄密威胁。目前已知受到此轮攻击影响的企业中，有9家为国内企业，涉及金融、能源、制造和零售等行业。

 

（2）国内多家医院感染勒索软件

 

11月13日，安徽某医院多台服务器感染520勒索软件，攻击者通过RDP爆破方式获取服务器控制权，并通过网络共享在内网传播勒索软件。

 

11月16日，广东省某医院OA共享磁盘文件被加密勒索，加密文件后缀名为.devos，勒索软件家族为老牌勒索软件phobos。攻击者利用RDP爆破入侵医院主机，并利用RDP或SMB暴力破解，获取更多内网主机访问权限，并利用内网设备间的文件共享对OA共享磁盘加密。

 

 

 

Remcos RAT是一款自2016年下半年开始公开售卖的远程控制木马，其后经过多次的版本更新，功能逐渐完善并成为网络犯罪团伙的首要选择。

 

近日，安全团队在日常样本狩猎过程中，捕获最新版Remcos RAT通过邮件进行传播的样本。此次捕获的样本主要是针对国外用户开展攻击活动，暂未发现影响国内用户。根据研究人员跟踪分析，此次的攻击活动有如下特点：1、以简历信息为诱饵，诱惑用户运行附件携带的vbs文件。2、恶意代码在内存中执行，全程无落地。3、使用最新版Remcos RAT。

 

邮件的内容以简历为诱饵让用户打开附件，本次捕获到的部分传播Remcos RAT木马的邮件样本信息如下：

 

 

 

 

宜家正在与一场进行中的网络攻击作斗争，攻击者利用窃取的回复链邮件对宜家员工进行内部钓鱼攻击。回复链电子邮件攻击（reply-chain email attack ）是指威胁行为者窃取合法的公司电子邮件，然后用嵌入恶意文件的链接回复邮件，这些文件会在收件人的设备上安装恶意软件。

 

在BleepingComputer网站看到的宜家内部邮件中，宜家提醒员工，宜家内部邮箱正在遭受回复链钓鱼网络攻击。这些邮件也来自其他被泄露的宜家机构和商业合作伙伴。

 

威胁行为者最近开始利用ProxyShell和ProxyLogin漏洞攻击Microsoft Exchange内部服务器，以实施钓鱼攻击活动。一旦他们获得了访问服务器的权限，他们就会使用内部的Microsoft Exchange服务器对使用窃取的公司电子邮件的员工进行回复链攻击。

 

 

 

据多家台湾媒体报道，11月25日，包括元大证券在内的多家台湾券商的交易系统告急，疑似遭到了黑客的“撞库攻击”，大量客户的证券账户被自动“下单”、批量买入港股。其中，更有投资者账户被动买入深蓝科技控股，单日跌幅高达33%。

 

11月26日，台湾证期局证实，确实收到了部分券商的通报信息，客户的账户被盗自动下单买入港股，目前已向交易所发出要求，进行清查，尝试掌握黑客的攻击手法。台湾交易所给出的答复是，将做出完整说明。与此同时，台湾证期局明确，一定保障投资人的权益，并要求各大券商对系统进行强化升级。

 

此次被黑客的盯上的元大证券，来头并不小，是台湾地区最大的综合证券商，其经纪业务、融资融券、财富管理信托以及借贷款项等业务在台湾市场的市占率都是第一。元大证券声明中重复强调，目前元大证券正在调查相关原因，一定会尽力确保客户权益，请客户放心。

 

 

 

近日，全球知名域名注册和网络托管服务公司GoDaddy被曝出多达120万WordPress客户数据被泄漏。

 

GoDaddy公司表示，这是由于未经授权的第三方利用泄露的密码获得了对其系统的访问权限导致的。安全专家在调查之后发现，未授权的第三方获取的是GoDaddy公司在WordPress上托管的客户电子邮件地址和客户编号的访问权限。

 

GoDaddy的首席信息安全官Demetrius Comes表示：“电子邮件地址的暴露存在网络钓鱼攻击的风险。对此，GoDaddy重置了已泄漏的原始WorldPress管理员密码、安全文件传输协议 (SFTP) 以及数据库内被泄露的WordPress客户的密码。”

 

此外，还有数量未知的活跃客户的SSL（安全套接字层）私钥的详细信息也被泄漏，GoDaddy目前正在为这些客户颁发和安装新证书。

 

 

 

Swire Pacific Offshore(SPO)太古海洋开发集团(太古公司旗下)已确认成为Cl0p勒索软件团伙有针对性的网络攻击的受害者。该公司声称可能会暴露个人信息和机密专有商业信息。

 

该公司没有分享攻击的细节，但据推测，Cl0p勒索软件团伙以勒索软件为目标，因为该团伙已更新其博客，标榜已成功入侵SPO的系统。

 

据SPO称，此次攻击并未影响其全球业务，因为它立即采取行动加强已实施的安全措施。受影响最大的员工是位于马来西亚和新加坡的员工。但是，文件显示有来自英国、菲律宾和中国的雇员的信息记录。Cl0p勒索组织分享了被盗数据的详细信息，其中包括：全名、位置数据、护照扫描件、银行资料、电话号码、电子邮件地址、公司名称、支付通知书、个人文件夹和邮箱备份。

 

 

 

丹麦风力涡轮机巨头Vestas Wind Systems遭遇网络攻击，这起事件破坏了其部分内部IT基础设施并导致尚未明确的数据泄露。维斯塔斯在 11月19日事件发生后关闭了其部分系统。该公司尚未提供攻击事件具体发生的细节，拒绝说明这是否是勒索软件攻击，调查仍在进行中。在最新的更新声明中，该公司称发生了数据泄露，部分IT设施正在恢复中，没有证据表明事件影响了第三方运营，包括客户和供应链运营。需要关注的是，中国是维斯塔斯最为重要的新兴市场之一，截至2021年6月30日，维斯塔斯在中国的装机总量超过8.8吉瓦。

 

维斯塔斯在全球制造工厂拥有 25,000 名员工，该公司表示，它于 11 月 19 日星期五发现了“网络安全事件”，并立即关闭了多个业务部门和地点的 IT 系统。11月22日发布的更新声明证实了数据泄露。“该公司的初步调查结果表明，该事件已经影响了维斯塔斯的部分内部 IT 基础设施，并且数据已被泄露。现阶段，工作和调查仍在进行中。”