英國疫情失控，黑客卻在趁機勒索搞錢。

據(jù) BBC 報道，近日，有黑客竊取了英國一家大型整容連鎖店-- Hospital Group的數(shù)據(jù)并威脅要公布患者手術前后的照片和其他細節(jié)。

黑客組織 REvil 在其暗網(wǎng)網(wǎng)頁上表示，顧客的照片并不完全是令人愉快的景象。它聲稱已經(jīng)獲得了超過 900G 的病人照片。

目前該整形醫(yī)院已經(jīng)證實了這一攻擊，并表示：

我們可以確認我們的信息技術系統(tǒng)受到了數(shù)據(jù)安全漏洞的影響。我們的病人的支付卡細節(jié)沒有一個被泄露，但是在這個階段，我們理解我們的病人的一些個人數(shù)據(jù)可能已經(jīng)被訪問。我們已經(jīng)提醒所有患者注意這一事件，并將在情況變得更清楚時向他們提供定期更新。我們已經(jīng)保護了我們的系統(tǒng)，并正在進行全面調查，以了解事件的程度。我們正與國家網(wǎng)絡安全中心、信息專員辦公室、網(wǎng)絡安全專家和警方合作，以盡快解決這一問題。 

被攻擊的  Hospital Group 什么來頭？

Hospital Group--也被稱為Transform Hospital Group--聲稱是英國減肥和美容手術的領先者。

據(jù)其首頁介紹，它擁有 11 家專門從事減肥手術、隆胸、乳頭矯正和鼻子調整的診所。

很多名人明星都是他們的顧客。

比如說前 Big Brother 選手 Aisleyne Horgan-Wallace 2009 年曾向 Zoo 雜志透露了她在 Hospital Group做過豐胸手術；Atomic Kitten 歌手 Kerry Katona；《無恥之徒》女演員 Tina Malone 和真人秀《The Only Way is Essex》明星 Joey Essex 也都曾是該診所的病人。

雖然該整形醫(yī)院在聲明中提到目前黑客還沒有泄露病人的支付細節(jié)，但黑客已經(jīng)獲取了一些個人數(shù)據(jù)，而這些個人數(shù)據(jù)包含的內容就很多了。

比如病人的姓名、身份證號、出生日期和有關他們診斷的敏感信息，甚至還有他們的社保 ID。

也就是說，黑客雖然沒有明確聲明要勒索多少錢，但事實上，他們看中是更大的買賣。

這意味著黑客不僅針對的是這家醫(yī)院，還有顧客（畢竟來做整形手術都不是一筆小數(shù)目）。

尤其是這個勒索軟件可不好惹。

REvil (Sodinokibi) 不好惹

沒錯，攻擊這家整形醫(yī)院的就是 REvil (Sodinokibi) 。

在當今眾多的勒索軟件領域，REvil（Sodinokibi）勒索軟件占據(jù)著統(tǒng)治地位。

REvil（Sodinokibi）以勒索軟件即服務（RaaS）的形式運行，將其勒索軟件病毒出租給其他犯罪集團。

這些被稱為 REvil Affaliates 的組織，只負責通過自己的渠道向受害者分發(fā)勒索軟件，然后根據(jù)在目標企業(yè)網(wǎng)絡上感染的電腦數(shù)量索要贖金。

REvil 勒索軟件運營商也被稱為 Sodinokibi，具有“悠久而光榮”的攻擊歷史。除了鎖定系統(tǒng)外，該小組還運行雙重打擊系統(tǒng)，借此他們在數(shù)據(jù)加密之前先將其竊取，并以此為手段來促進贖金支付。

一般來說，該勒索軟件在企業(yè)網(wǎng)絡找到突破口后，先使用掃描爆破等方式，獲取到內網(wǎng)中一臺較為薄弱的主機權限，再上傳黑客工具包對內網(wǎng)進行掃描爆破或密碼抓取，選擇重要的服務器和 PC 進行加密，然后嘗試內容橫向移動，加密整個企業(yè)內網(wǎng)盡可能多的主機或服務器，可謂一臺失陷，全網(wǎng)遭殃。

該勒索軟件的厲害之處就在于他們是團伙合作的，為的就是搞錢。

一般操作步驟是這樣的：

Sodinokibi 勒索軟件運行成功后，會在主機上留下如下勒索信息，形如“隨機后綴- readme.txt ”的文檔：

為了讓你更容易找到他付費，他們還“貼心”的為你留了線索.......

一個是暗網(wǎng)聊天網(wǎng)頁，一個是普通聊天網(wǎng)頁，受害企業(yè)可以根據(jù)自身情況任意聯(lián)系（訪問）其中一個鏈接。訪問該鏈接后，可以通過網(wǎng)頁進行聊天，設計十分專業(yè)，黑客可以與受害企業(yè)就贖金問題進行協(xié)商。

當然，如果你不接受條件，他們還有 24 小時在線的談判專家哦。

而 Sodinokibi 勒索軟件的要價普遍偏高，多數(shù)是在 3 到 6 個比特幣，所以其主要攻擊對象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務網(wǎng)絡，因此很多受害企業(yè)迫于無奈交了不少贖金。

并且由于其為產業(yè)化運作，故每個參與者都有相應的分成。當受害企業(yè)向黑客錢包轉入比特幣的時候，此錢包會分批次轉入其它成員的錢包。

每次攻擊所得的贖金，大頭由統(tǒng)籌錢包分配給了攻擊者和組織運營者，所以單次成功后的貢獻比較大，而任何個人和團隊都能參與到不同客戶的攻擊活動中來，類似銷售團隊，每成一單，提成都比較可觀。最后的大頭，當然給了組織運營者，其負責拉通各個環(huán)節(jié)和資源，保障平臺和團伙的正常運作。

并且這種勒索攻擊的破解難度極高，企業(yè)或者個人也只能乖乖交贖金。

今年 5 月，REvil 勒索組織的黑客竊取了紐約一家名為 Grubman Shire Meiselas＆Sacks 的律師事務所的頂級名人數(shù)據(jù)。

他們聲稱，如果不向他們支付 4200 萬美元的贖金，他們將發(fā)布更具破壞性的材料。他們有關于特朗普的“成噸的骯臟材料”，一旦發(fā)布特朗普就別想再當總統(tǒng)。

除了特朗普之外，Lady Gaga、麥當娜、U2、尼基·米娜等娛樂巨星也是受害者。

對比這次的攻擊對象，所以，你懂會有什么后果吧。

幾條安全建議

雖然這是個老生常談的話題，但是雷鋒網(wǎng)編輯還是要說，別上不該上的網(wǎng)站，別點不該點的鏈接，別下不該下的東西。

針對該勒索軟件，雷鋒網(wǎng)也找了幾位安全圈的老司機來給大家獻策，總的來說，對于企業(yè)和個人來說，要做好以下六個方面的防御工作：

• 對重要數(shù)據(jù)進行非本地備份；

• 開啟防火墻并安裝防毒軟件；

• 謹防不明郵件，不點擊不明郵件及附件；

• 關閉不必要端口，如：445、135、139、3389等；

• 盡量不使用局域網(wǎng)共享；

• 及時修補Weblogic、Apache Struts2 等服務組件漏洞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.bbc.co.uk/news/technology-55439190

【2】https://www.databreaches.net/uk-transform-hospital-group-falls-prey-to-ransomware-attack/

【3】https://siliconangle.com/2020/12/24/uk-cosmetic-surgery-provider-hit-ransomware-customer-data-stolen/

【4】https://thehospitalgroup.org/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。