英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

本文作者：劉琳

2020-12-25 16:53

導(dǎo)語(yǔ)：黑客組織：什么時(shí)候都不能阻止我搞錢！

英國(guó)疫情失控，黑客卻在趁機(jī)勒索搞錢。

據(jù) BBC 報(bào)道，近日，有黑客竊取了英國(guó)一家大型整容連鎖店-- Hospital Group的數(shù)據(jù)并威脅要公布患者手術(shù)前后的照片和其他細(xì)節(jié)。

黑客組織 REvil 在其暗網(wǎng)網(wǎng)頁(yè)上表示，顧客的照片并不完全是令人愉快的景象。它聲稱已經(jīng)獲得了超過(guò) 900G 的病人照片。

英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

目前該整形醫(yī)院已經(jīng)證實(shí)了這一攻擊，并表示：

我們可以確認(rèn)我們的信息技術(shù)系統(tǒng)受到了數(shù)據(jù)安全漏洞的影響。我們的病人的支付卡細(xì)節(jié)沒(méi)有一個(gè)被泄露，但是在這個(gè)階段，我們理解我們的病人的一些個(gè)人數(shù)據(jù)可能已經(jīng)被訪問(wèn)。我們已經(jīng)提醒所有患者注意這一事件，并將在情況變得更清楚時(shí)向他們提供定期更新。我們已經(jīng)保護(hù)了我們的系統(tǒng)，并正在進(jìn)行全面調(diào)查，以了解事件的程度。我們正與國(guó)家網(wǎng)絡(luò)安全中心、信息專員辦公室、網(wǎng)絡(luò)安全專家和警方合作，以盡快解決這一問(wèn)題。

被攻擊的 Hospital Group 什么來(lái)頭？

Hospital Group--也被稱為Transform Hospital Group--聲稱是英國(guó)減肥和美容手術(shù)的領(lǐng)先者。

英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

據(jù)其首頁(yè)介紹，它擁有 11 家專門從事減肥手術(shù)、隆胸、乳頭矯正和鼻子調(diào)整的診所。

很多名人明星都是他們的顧客。

比如說(shuō)前 Big Brother 選手 Aisleyne Horgan-Wallace 2009 年曾向 Zoo 雜志透露了她在 Hospital Group做過(guò)豐胸手術(shù)；Atomic Kitten 歌手 Kerry Katona；《無(wú)恥之徒》女演員 Tina Malone 和真人秀《The Only Way is Essex》明星 Joey Essex 也都曾是該診所的病人。

雖然該整形醫(yī)院在聲明中提到目前黑客還沒(méi)有泄露病人的支付細(xì)節(jié)，但黑客已經(jīng)獲取了一些個(gè)人數(shù)據(jù)，而這些個(gè)人數(shù)據(jù)包含的內(nèi)容就很多了。

比如病人的姓名、身份證號(hào)、出生日期和有關(guān)他們?cè)\斷的敏感信息，甚至還有他們的社保 ID。

也就是說(shuō)，黑客雖然沒(méi)有明確聲明要勒索多少錢，但事實(shí)上，他們看中是更大的買賣。

這意味著黑客不僅針對(duì)的是這家醫(yī)院，還有顧客（畢竟來(lái)做整形手術(shù)都不是一筆小數(shù)目）。

尤其是這個(gè)勒索軟件可不好惹。

REvil (Sodinokibi) 不好惹

沒(méi)錯(cuò)，攻擊這家整形醫(yī)院的就是 REvil (Sodinokibi) 。

英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

在當(dāng)今眾多的勒索軟件領(lǐng)域，REvil（Sodinokibi）勒索軟件占據(jù)著統(tǒng)治地位。

REvil（Sodinokibi）以勒索軟件即服務(wù)（RaaS）的形式運(yùn)行，將其勒索軟件病毒出租給其他犯罪集團(tuán)。

這些被稱為 REvil Affaliates 的組織，只負(fù)責(zé)通過(guò)自己的渠道向受害者分發(fā)勒索軟件，然后根據(jù)在目標(biāo)企業(yè)網(wǎng)絡(luò)上感染的電腦數(shù)量索要贖金。

REvil 勒索軟件運(yùn)營(yíng)商也被稱為 Sodinokibi，具有“悠久而光榮”的攻擊歷史。除了鎖定系統(tǒng)外，該小組還運(yùn)行雙重打擊系統(tǒng)，借此他們?cè)跀?shù)據(jù)加密之前先將其竊取，并以此為手段來(lái)促進(jìn)贖金支付。

一般來(lái)說(shuō)，該勒索軟件在企業(yè)網(wǎng)絡(luò)找到突破口后，先使用掃描爆破等方式，獲取到內(nèi)網(wǎng)中一臺(tái)較為薄弱的主機(jī)權(quán)限，再上傳黑客工具包對(duì)內(nèi)網(wǎng)進(jìn)行掃描爆破或密碼抓取，選擇重要的服務(wù)器和 PC 進(jìn)行加密，然后嘗試內(nèi)容橫向移動(dòng)，加密整個(gè)企業(yè)內(nèi)網(wǎng)盡可能多的主機(jī)或服務(wù)器，可謂一臺(tái)失陷，全網(wǎng)遭殃。

該勒索軟件的厲害之處就在于他們是團(tuán)伙合作的，為的就是搞錢。

一般操作步驟是這樣的：

Sodinokibi 勒索軟件運(yùn)行成功后，會(huì)在主機(jī)上留下如下勒索信息，形如“隨機(jī)后綴- readme.txt ”的文檔：

英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

為了讓你更容易找到他付費(fèi)，他們還“貼心”的為你留了線索.......

一個(gè)是暗網(wǎng)聊天網(wǎng)頁(yè)，一個(gè)是普通聊天網(wǎng)頁(yè)，受害企業(yè)可以根據(jù)自身情況任意聯(lián)系（訪問(wèn)）其中一個(gè)鏈接。訪問(wèn)該鏈接后，可以通過(guò)網(wǎng)頁(yè)進(jìn)行聊天，設(shè)計(jì)十分專業(yè)，黑客可以與受害企業(yè)就贖金問(wèn)題進(jìn)行協(xié)商。

英國(guó)最大整形醫(yī)院遭勒索，黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

當(dāng)然，如果你不接受條件，他們還有 24 小時(shí)在線的談判專家哦。

而 Sodinokibi 勒索軟件的要價(jià)普遍偏高，多數(shù)是在 3 到 6 個(gè)比特幣，所以其主要攻擊對(duì)象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)，因此很多受害企業(yè)迫于無(wú)奈交了不少贖金。

并且由于其為產(chǎn)業(yè)化運(yùn)作，故每個(gè)參與者都有相應(yīng)的分成。當(dāng)受害企業(yè)向黑客錢包轉(zhuǎn)入比特幣的時(shí)候，此錢包會(huì)分批次轉(zhuǎn)入其它成員的錢包。

每次攻擊所得的贖金，大頭由統(tǒng)籌錢包分配給了攻擊者和組織運(yùn)營(yíng)者，所以單次成功后的貢獻(xiàn)比較大，而任何個(gè)人和團(tuán)隊(duì)都能參與到不同客戶的攻擊活動(dòng)中來(lái)，類似銷售團(tuán)隊(duì)，每成一單，提成都比較可觀。最后的大頭，當(dāng)然給了組織運(yùn)營(yíng)者，其負(fù)責(zé)拉通各個(gè)環(huán)節(jié)和資源，保障平臺(tái)和團(tuán)伙的正常運(yùn)作。

并且這種勒索攻擊的破解難度極高，企業(yè)或者個(gè)人也只能乖乖交贖金。

今年 5 月，REvil 勒索組織的黑客竊取了紐約一家名為 Grubman Shire Meiselas＆Sacks 的律師事務(wù)所的頂級(jí)名人數(shù)據(jù)。

他們聲稱，如果不向他們支付 4200 萬(wàn)美元的贖金，他們將發(fā)布更具破壞性的材料。他們有關(guān)于特朗普的“成噸的骯臟材料”，一旦發(fā)布特朗普就別想再當(dāng)總統(tǒng)。

除了特朗普之外，Lady Gaga、麥當(dāng)娜、U2、尼基·米娜等娛樂(lè)巨星也是受害者。

對(duì)比這次的攻擊對(duì)象，所以，你懂會(huì)有什么后果吧。

幾條安全建議

雖然這是個(gè)老生常談的話題，但是雷鋒網(wǎng)編輯還是要說(shuō)，別上不該上的網(wǎng)站，別點(diǎn)不該點(diǎn)的鏈接，別下不該下的東西。

針對(duì)該勒索軟件，雷鋒網(wǎng)也找了幾位安全圈的老司機(jī)來(lái)給大家獻(xiàn)策，總的來(lái)說(shuō)，對(duì)于企業(yè)和個(gè)人來(lái)說(shuō)，要做好以下六個(gè)方面的防御工作：