NiO+H2 =△= Rhysida

admin 2023年11月28日13:04:13评论32 views字数 785阅读2分37秒阅读模式

据媒体传说,某能源建设单位数据在某网上被黑客以50某某币拍卖,笔者晚上刚和一群老伙计扯了一段XXX掩耳盗铃的故事,这就来了一个传说。这篇文章因美的被勒索事件而写,本文正文只是引用。

据知道创宇暗网雷达监测,中国能源建设集团的相关数据正在暗网上被黑客以 50 比特币的价格拍卖。据悉,该黑客团伙被称为 Rhysida,他们声称窃取了大量“独家且令人印象深刻的数据”,并以 50 比特币的价格拍卖。Rhysida 的计划是将被盗数据出售给单一买家,并可能在公告发布后的7天内公布相关数据。公开资料显示,中国能源建设集团有限公司成立于2011年, 是集电力和能源规划咨询、勘测设计、工程承包、装备制造、投资运营等于一体的完整业务链的特大型骨干企业,是我国和世界能源建设的主力军。从黑客发布的截图上来看,此次泄露的数据中包含财务数据、设计图纸、职工信息等等。

http://www.hackdig.com/11/hack-1151150.htm

笔者临时找到了三个Rhysida组织的样本,写了条检测规则,供有需求者,如有不全可再联系全程包邮。

Yara

rule RansomWare_Rhysida_Win{    meta:        description = "Rhysida group"        author = "virk"        thread_level = 10        in_the_wild = true    strings:    $a = {48 83 FF 01 74 ?? 48 83 FF 02 74 ?? 48 83 FF 03 74 ?? 48 83 FF 04 74 ?? 48 83 FF 05 74 ?? 48 83 FF 06 74}    $b = {41 72 69 61 6C 2E 74 74 66}    condition:         (uint16(0) == 0x5A4D) and  (uint32(uint32(0x3C)) == 0x00004550) and $a and $b


原文始发于微信公众号(锐眼安全实验室):NiO+H2 =△= Rhysida

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月28日13:04:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NiO+H2 =△= Rhysidahttps://cn-sec.com/archives/2247006.html

发表评论

匿名网友 填写信息