英國最大整形醫(yī)院遭勒索， 黑客聲稱已有 900G 的病人照片泄露在暗網(wǎng)，不交贖金可能泄露更多

英國疫情失控，黑客卻在趁機勒索搞錢。

據(jù) BBC 報道，近日，有黑客竊取了英國一家大型整容連鎖店-- Hospital Group的數(shù)據(jù)并威脅要公布患者手術(shù)前后的照片和其他細節(jié)。

黑客組織 REvil 在其暗網(wǎng)網(wǎng)頁上表示，顧客的照片并不完全是令人愉快的景象。它聲稱已經(jīng)獲得了超過 900G 的病人照片。

目前該整形醫(yī)院已經(jīng)證實了這一攻擊，并表示：

我們可以確認我們的信息技術(shù)系統(tǒng)受到了數(shù)據(jù)安全漏洞的影響。我們的病人的支付卡細節(jié)沒有一個被泄露，但是在這個階段，我們理解我們的病人的一些個人數(shù)據(jù)可能已經(jīng)被訪問。我們已經(jīng)提醒所有患者注意這一事件，并將在情況變得更清楚時向他們提供定期更新。我們已經(jīng)保護了我們的系統(tǒng)，并正在進行全面調(diào)查，以了解事件的程度。我們正與國家網(wǎng)絡(luò)安全中心、信息專員辦公室、網(wǎng)絡(luò)安全專家和警方合作，以盡快解決這一問題。 

被攻擊的  Hospital Group 什么來頭？

Hospital Group--也被稱為Transform Hospital Group--聲稱是英國減肥和美容手術(shù)的領(lǐng)先者。

據(jù)其首頁介紹，它擁有 11 家專門從事減肥手術(shù)、隆胸、乳頭矯正和鼻子調(diào)整的診所。

很多名人明星都是他們的顧客。

比如說前 Big Brother 選手 Aisleyne Horgan-Wallace 2009 年曾向 Zoo 雜志透露了她在 Hospital Group做過豐胸手術(shù)；Atomic Kitten 歌手 Kerry Katona；《無恥之徒》女演員 Tina Malone 和真人秀《The Only Way is Essex》明星 Joey Essex 也都曾是該診所的病人。

雖然該整形醫(yī)院在聲明中提到目前黑客還沒有泄露病人的支付細節(jié)，但黑客已經(jīng)獲取了一些個人數(shù)據(jù)，而這些個人數(shù)據(jù)包含的內(nèi)容就很多了。

比如病人的姓名、身份證號、出生日期和有關(guān)他們診斷的敏感信息，甚至還有他們的社保 ID。

也就是說，黑客雖然沒有明確聲明要勒索多少錢，但事實上，他們看中是更大的買賣。

這意味著黑客不僅針對的是這家醫(yī)院，還有顧客（畢竟來做整形手術(shù)都不是一筆小數(shù)目）。

尤其是這個勒索軟件可不好惹。

REvil (Sodinokibi) 不好惹

沒錯，攻擊這家整形醫(yī)院的就是 REvil (Sodinokibi) 。

在當(dāng)今眾多的勒索軟件領(lǐng)域，REvil（Sodinokibi）勒索軟件占據(jù)著統(tǒng)治地位。

REvil（Sodinokibi）以勒索軟件即服務(wù)（RaaS）的形式運行，將其勒索軟件病毒出租給其他犯罪集團。

這些被稱為 REvil Affaliates 的組織，只負責(zé)通過自己的渠道向受害者分發(fā)勒索軟件，然后根據(jù)在目標企業(yè)網(wǎng)絡(luò)上感染的電腦數(shù)量索要贖金。

REvil 勒索軟件運營商也被稱為 Sodinokibi，具有“悠久而光榮”的攻擊歷史。除了鎖定系統(tǒng)外，該小組還運行雙重打擊系統(tǒng)，借此他們在數(shù)據(jù)加密之前先將其竊取，并以此為手段來促進贖金支付。

一般來說，該勒索軟件在企業(yè)網(wǎng)絡(luò)找到突破口后，先使用掃描爆破等方式，獲取到內(nèi)網(wǎng)中一臺較為薄弱的主機權(quán)限，再上傳黑客工具包對內(nèi)網(wǎng)進行掃描爆破或密碼抓取，選擇重要的服務(wù)器和 PC 進行加密，然后嘗試內(nèi)容橫向移動，加密整個企業(yè)內(nèi)網(wǎng)盡可能多的主機或服務(wù)器，可謂一臺失陷，全網(wǎng)遭殃。

該勒索軟件的厲害之處就在于他們是團伙合作的，為的就是搞錢。

一般操作步驟是這樣的：

Sodinokibi 勒索軟件運行成功后，會在主機上留下如下勒索信息，形如“隨機后綴- readme.txt ”的文檔：

為了讓你更容易找到他付費，他們還“貼心”的為你留了線索.......

一個是暗網(wǎng)聊天網(wǎng)頁，一個是普通聊天網(wǎng)頁，受害企業(yè)可以根據(jù)自身情況任意聯(lián)系（訪問）其中一個鏈接。訪問該鏈接后，可以通過網(wǎng)頁進行聊天，設(shè)計十分專業(yè)，黑客可以與受害企業(yè)就贖金問題進行協(xié)商。

當(dāng)然，如果你不接受條件，他們還有 24 小時在線的談判專家哦。

而 Sodinokibi 勒索軟件的要價普遍偏高，多數(shù)是在 3 到 6 個比特幣，所以其主要攻擊對象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)，因此很多受害企業(yè)迫于無奈交了不少贖金。

并且由于其為產(chǎn)業(yè)化運作，故每個參與者都有相應(yīng)的分成。當(dāng)受害企業(yè)向黑客錢包轉(zhuǎn)入比特幣的時候，此錢包會分批次轉(zhuǎn)入其它成員的錢包。

每次攻擊所得的贖金，大頭由統(tǒng)籌錢包分配給了攻擊者和組織運營者，所以單次成功后的貢獻比較大，而任何個人和團隊都能參與到不同客戶的攻擊活動中來，類似銷售團隊，每成一單，提成都比較可觀。最后的大頭，當(dāng)然給了組織運營者，其負責(zé)拉通各個環(huán)節(jié)和資源，保障平臺和團伙的正常運作。

并且這種勒索攻擊的破解難度極高，企業(yè)或者個人也只能乖乖交贖金。

今年 5 月，REvil 勒索組織的黑客竊取了紐約一家名為 Grubman Shire Meiselas＆Sacks 的律師事務(wù)所的頂級名人數(shù)據(jù)。

他們聲稱，如果不向他們支付 4200 萬美元的贖金，他們將發(fā)布更具破壞性的材料。他們有關(guān)于特朗普的“成噸的骯臟材料”，一旦發(fā)布特朗普就別想再當(dāng)總統(tǒng)。

除了特朗普之外，Lady Gaga、麥當(dāng)娜、U2、尼基·米娜等娛樂巨星也是受害者。

對比這次的攻擊對象，所以，你懂會有什么后果吧。

幾條安全建議

雖然這是個老生常談的話題，但是雷鋒網(wǎng)編輯還是要說，別上不該上的網(wǎng)站，別點不該點的鏈接，別下不該下的東西。

針對該勒索軟件，雷鋒網(wǎng)也找了幾位安全圈的老司機來給大家獻策，總的來說，對于企業(yè)和個人來說，要做好以下六個方面的防御工作：

• 對重要數(shù)據(jù)進行非本地備份；

• 開啟防火墻并安裝防毒軟件；

• 謹防不明郵件，不點擊不明郵件及附件；

• 關(guān)閉不必要端口，如：445、135、139、3389等；

• 盡量不使用局域網(wǎng)共享；

• 及時修補Weblogic、Apache Struts2 等服務(wù)組件漏洞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.bbc.co.uk/news/technology-55439190

【2】https://www.databreaches.net/uk-transform-hospital-group-falls-prey-to-ransomware-attack/

【3】https://siliconangle.com/2020/12/24/uk-cosmetic-surgery-provider-hit-ransomware-customer-data-stolen/

【4】https://thehospitalgroup.org/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。