Rhysida 勒索软件团伙将中国能源建设集团公司添加到其 Tor 泄露网站的受害者名单中。

中国能源建设集团公司（CEEC）是一家从事能源和基础设施领域业务的中国国有公司。

作为全国最大的综合能源公司之一，在行业中占有显著地位。

中国能建积极参与开发和建设各种能源项目，包括煤炭、水电、核能和可再生能源项目。

它还参与国际项目，为全球能源格局做出贡献。

该勒索软件组织声称窃取了大量“令人印象深刻的数据”，并以 50 比特币的价格进行拍卖。Rhysida 勒索软件运营商计划将窃取的数据出售给单个买家。该团伙将在宣布后 7 天内公开发布数据。

最近，Rhysida 勒索软件团伙将大英图书馆添加到其 Tor 泄露网站的受害者名单中。

上周，FBI 和 CISA发布了联合网络安全公告 (CSA)，警告 Rhysida 勒索软件攻击。该通报是正在进行的#StopRansomware工作的一部分，旨在传播有关与勒索软件团体相关的策略、技术和程序 (TTP) 以及危害指标 (IOC) 的信息。

该报告包括截至 2023 年 9 月通过调查确定的 IOC 和 TTP。

Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃。根据该团伙的 Tor 泄露网站，至少有 62 家公司成为此次行动的受害者。

该勒索软件团伙袭击了多个行业的组织，包括教育、医疗保健、制造、信息技术和政府部门。该团体的受害者是“机会目标”。

“众所周知，利用 Rhysida 勒索软件的威胁行为者会影响“机会目标”，包括教育、医疗保健、制造、信息技术和政府部门的受害者。开源报告详细介绍了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的行为者之间的相似之处。”“此外，开源报告已证实观察到 Rhysida 参与者以勒索软件即服务 (RaaS) 能力运营的实例，其中勒索软件工具和基础设施以利润分享模式出租。支付的赎金将由该组织和附属机构分配。”

Rhysida 参与者利用面向外部的远程服务（例如 VPN、RDP）来获得对目标网络的初始访问并保持持久性。该组织依靠泄露的凭据对内部 VPN 接入点进行身份验证。根据该通报，威胁行为者利用 Microsoft Netlogon 远程协议中的Zerologon  ( CVE-2020-1472 ) 进行网络钓鱼。

该组织依靠本地技术（例如本地（内置于操作系统中）网络管理工具）来执行恶意操作。