感染勒索病毒造成數(shù)據(jù)泄露,有可能判三年!
【時(shí)間】2019-12-18
【編輯】轉(zhuǎn)載
【瀏覽量】
【等級(jí)保護(hù)QQ交流群】881590869
“勒索病毒在全世界爆發(fā)已經(jīng)很嚴(yán)重了,但也有很多企業(yè)拒絕交贖金。幾家著名勒索病毒集團(tuán)表示將要公開(kāi)這些中勒索病毒的企業(yè)信息,還有從受害公司竊取的數(shù)據(jù)?!?/span>
勒索軟件攻擊現(xiàn)在是數(shù)據(jù)泄露
似乎勒索軟件的禍害還不夠嚴(yán)重,必需加碼:幾家著名的勒索軟件供應(yīng)商已經(jīng)表示,他們計(jì)劃開(kāi)始發(fā)布拒絕付款的受害者所竊取的數(shù)據(jù)。更糟的是,一個(gè)勒索軟件團(tuán)伙現(xiàn)在已經(jīng)創(chuàng)建了一個(gè)公共網(wǎng)站,用于發(fā)布一些不合作的受害公司,不合作的受害公司中了勒索病毒,選擇重建其業(yè)務(wù),而不是悄悄地交贖金。網(wǎng)站專門發(fā)布不合作公司的名單。
約在48小時(shí)前,Maze Ransomware 病毒背后的網(wǎng)絡(luò)犯罪分子在公共Internet 上架設(shè)了一個(gè)網(wǎng)站,目前它列出了拒絕支付贖金要求的8名惡意軟件受害者的公司名稱和相應(yīng)的網(wǎng)站。
該網(wǎng)站用服務(wù)英語(yǔ)寫道:在這網(wǎng)站發(fā)布的公司,都是那些不打算交錢,不合作的公司名單,并試圖隱瞞黑客已經(jīng)成功入侵并下載其重要資源的公司。不合作公司的數(shù)據(jù)還有重要文件資源,將會(huì)發(fā)布這網(wǎng)站上。請(qǐng)關(guān)注最新新聞。
安全專家:KrebsOnSecurity能夠驗(yàn)證該站點(diǎn)上列出的至少一家公司最近確實(shí)遭受了新聞媒體尚未報(bào)道的Maze勒索軟件侵?jǐn)_。
Maze受害者被披露的信息包括初始感染日期,一些被盜的Microsoft Office,文本和PDF文件,據(jù)稱從受害者那里竊取的文件總量(以千兆字節(jié)為單位),以及受害者的IP地址和計(jì)算機(jī)名稱。服務(wù)器, 都是被Maze勒索軟件感染的目標(biāo)、這事發(fā)生之后使某些人感到震驚,之前就有黑客警告過(guò)可能會(huì)走這一步。沒(méi)想來(lái)這樣的結(jié)束來(lái)的怎么快。“多年來(lái),勒索軟件開(kāi)發(fā)商和分支機(jī)構(gòu)一直在告訴受害者他們必須支付贖金,否則被盜數(shù)據(jù)將被公開(kāi)發(fā)布,”勞倫斯·艾布拉姆斯(Lawrence Abrams)說(shuō)。“盡管勒索軟件參與者窺探受害者的數(shù)據(jù)是一個(gè)眾所周知的秘密,而且在許多情況下,它們?cè)诶账骷用軘?shù)據(jù)之前就將其竊取了,但他們從未真去公布這些數(shù)據(jù),只是威脅。”
這種情況在上個(gè)月末發(fā)生了變化,當(dāng)時(shí)Maze勒索軟件背后的詐騙者威脅到聯(lián)合環(huán)球公司,如果他們不支付贖金,他們將公布他們的機(jī)密文件。當(dāng)他們沒(méi)有收到付款時(shí),就在黑客論壇上公布了700MB的數(shù)據(jù)。
“勒索軟件攻擊現(xiàn)在是數(shù)據(jù)泄露”
“在勒索軟件攻擊期間,一些入侵行為分析已經(jīng)告訴公司,攻擊者已閱讀公司文件并熟悉公司內(nèi)部的機(jī)密。應(yīng)該將其視為數(shù)據(jù)泄露,但許多勒索軟件的受害者希望隱瞞此事并將病毒掃地出門,并希望沒(méi)人能發(fā)現(xiàn)。現(xiàn)在,勒索軟件運(yùn)營(yíng)商正在公布受害者的數(shù)據(jù),有了這些改變,被迫公司不得不將這些攻擊視為數(shù)據(jù)泄露。”
在負(fù)責(zé)管理“ Sodinokibi / rEvil” 勒索軟件帝國(guó)的網(wǎng)絡(luò)犯罪分子發(fā)布在流行的暗網(wǎng)論壇上幾天后,Maze勒索病毒集團(tuán)就采取了行動(dòng),他們還計(jì)劃開(kāi)始使用被盜的文件和數(shù)據(jù)作為一種手段來(lái)威脅受害者支付贖金。Sodinokibi / rEvil 勒索軟件幫派的負(fù)責(zé)人承諾在最近的網(wǎng)絡(luò)暗網(wǎng)論壇帖子中公開(kāi)宣布受害者的名字并讓他們感到羞恥。
圖片來(lái)源:BleepingComputer
對(duì)于那些沒(méi)有公開(kāi)自己實(shí)際情況或想瞞報(bào)企業(yè)已經(jīng)中勒索病毒,數(shù)據(jù)在勒索集團(tuán)手中的企業(yè),將是重大打擊。這樣的受害企業(yè)如果公布出來(lái)之后將會(huì)因?yàn)椋?strong style="margin:0px;padding:0px;max-width:100%;box-sizing:border-box !important;overflow-wrap:break-word !important;">沒(méi)有效保護(hù)客戶數(shù)據(jù)而已面臨高額罰款。
如果這些受害者之前中勒索病毒可以重建業(yè)務(wù)線或者是還原數(shù)據(jù),也許可以避免公眾知曉公司內(nèi)部被勒索軟件攻破,但是像Maze Ransomware 現(xiàn)在已經(jīng)建立的站點(diǎn),公開(kāi)這些消息,這事就變的很復(fù)雜,而且會(huì)有好戲看。
中國(guó)數(shù)據(jù)泄露相關(guān)處罰案例
案例一:716萬(wàn)元處罰銀行泄露數(shù)據(jù)信息
中國(guó)人民銀行發(fā)布了一則高達(dá)716萬(wàn)元的行政處罰信息,處罰對(duì)象包括四大國(guó)有銀行和民生、光大、廣發(fā)、中信、浦發(fā)等多家銀行,還包括保險(xiǎn)公司、資產(chǎn)管理公司等多家金融機(jī)構(gòu)。這些金融機(jī)構(gòu)在過(guò)去兩個(gè)月時(shí)間里,都曾發(fā)生泄露信息、瞞報(bào)數(shù)據(jù)等違規(guī)行為,有銀行機(jī)構(gòu)不僅過(guò)失泄露信息,而且未經(jīng)授權(quán)便查詢個(gè)人信用信息,甚至違法出售個(gè)人信息。
在違規(guī)處罰中,有三家金融機(jī)構(gòu)的單個(gè)罰單超過(guò)50萬(wàn)。
公安局網(wǎng)安支隊(duì)經(jīng)過(guò)現(xiàn)場(chǎng)調(diào)查和勘驗(yàn)取證工作,并依法對(duì)網(wǎng)絡(luò)中心系統(tǒng)管理員和操作維護(hù)人員進(jìn)行詢問(wèn)。最終確認(rèn)淮南職業(yè)技術(shù)學(xué)院招生信息管理系統(tǒng)存在越權(quán)漏洞,后臺(tái)登錄密碼弱口令,學(xué)院未落實(shí)網(wǎng)絡(luò)安全管理制度,未建立網(wǎng)絡(luò)安全防護(hù)技術(shù)措施、網(wǎng)絡(luò)日志留存少于六個(gè)月,未采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施,致使系統(tǒng)存儲(chǔ)的4353名學(xué)生的身份信息泄露。
市公安局網(wǎng)安支隊(duì)依法傳喚學(xué)院分管網(wǎng)絡(luò)信息安全工作的院長(zhǎng)和網(wǎng)絡(luò)中心主任及相關(guān)工作人員進(jìn)行調(diào)查,確認(rèn)該學(xué)校因未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度造成數(shù)據(jù)泄露,依法對(duì)淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施。對(duì)泄露的學(xué)生身份信息流向,市公安局正在依法調(diào)查中。
案例三:科技部處罰醫(yī)院,原因:數(shù)據(jù)安全泄露
去年,科技部官網(wǎng)集中公開(kāi)了6份行政罰單,內(nèi)容涉及人類遺傳資源采集、收集、買賣、出口、出境審批,罰單分別在不同時(shí)間開(kāi)出。其中最新的是國(guó)科罰〔2018〕1號(hào)對(duì)阿斯利康投資(中國(guó))有限公司(下稱“阿斯利康”)7月12日的處罰,最早一則是國(guó)科罰〔2015〕2號(hào)對(duì)深圳華大基因科技服務(wù)有限公司(下稱“華大基因”)2015年9月7日的處罰通知。除了上述兩家外,赫然在列的還有廈門艾德生物、昆皓睿誠(chéng)醫(yī)藥、復(fù)旦大學(xué)附屬華山醫(yī)院以及正在申請(qǐng)港股IPO的藥明康德。處罰原因:數(shù)據(jù)安全泄露
相關(guān)法律法規(guī)
網(wǎng)絡(luò)安全法第21條規(guī)定,國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
網(wǎng)絡(luò)安全法第59條第1款規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第21條、第25條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。2019年11月1日起,最高人民法院、最高人民檢察院日前聯(lián)合發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)正式實(shí)施?!督忉尅饭彩艞l,對(duì)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的具體情形、定罪量刑標(biāo)準(zhǔn)及有關(guān)法律適用問(wèn)題作了全面、系統(tǒng)的規(guī)定,具體如下:第四條 拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),致使用戶信息泄露,具有下列情形之一的,應(yīng)當(dāng)認(rèn)定為刑法第二百八十六條之一第一款第二項(xiàng)規(guī)定的“造成嚴(yán)重后果”:(一)致使泄露行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息五百條以上的;(二)致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的用戶信息五千條以上的;(三)致使泄露第一項(xiàng)、第二項(xiàng)規(guī)定以外的用戶信息五萬(wàn)條以上的;(四)數(shù)量雖未達(dá)到第一項(xiàng)至第三項(xiàng)規(guī)定標(biāo)準(zhǔn),但是按相應(yīng)比例折算合計(jì)達(dá)到有關(guān)數(shù)量標(biāo)準(zhǔn)的;(五)造成他人死亡、重傷、精神失常或者被綁架等嚴(yán)重后果的;(七)嚴(yán)重?cái)_亂社會(huì)秩序的;《中華人民共和國(guó)刑法》第二百八十六條之一 拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪: 網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金: (二)致使用戶信息泄露,造成嚴(yán)重后果的; (三)致使刑事案件證據(jù)滅失,情節(jié)嚴(yán)重的; 單位犯前款罪的,對(duì)單位判處罰金,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照前款的規(guī)定處罰。有前兩款行為,同時(shí)構(gòu)成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。未來(lái)勒索病毒性質(zhì)正在轉(zhuǎn)變?yōu)閿?shù)據(jù)泄露,感染勒索病毒,按數(shù)據(jù)泄露的話,可以直接入刑!我們假設(shè)一個(gè)場(chǎng)景:XX醫(yī)院感染勒索病毒,沒(méi)有發(fā)現(xiàn)或者是沒(méi)有檢測(cè)到勒索病毒已經(jīng)盜走了相關(guān)數(shù)據(jù)。只解密勒索病毒,性質(zhì)就轉(zhuǎn)變?yōu)閿?shù)據(jù)泄露,醫(yī)院有很多病人信息。就達(dá)到法律規(guī)定的 “致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的用戶信息五千條以上的;”相關(guān)責(zé)任人,可按最新法律法規(guī)處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。
中國(guó)數(shù)據(jù)泄露立法正在推進(jìn)
今年全國(guó)兩會(huì)上,個(gè)人信息保護(hù)再次成為熱點(diǎn)。全國(guó)政協(xié)委員劉偉建議加大對(duì)數(shù)據(jù)泄露的懲罰力度。1、去年6.18,圓通10億條用戶信息數(shù)據(jù)泄露后被黑產(chǎn)出售2、去年8.28,華住集團(tuán)2.4億入住記錄泄露4、去年11.30,萬(wàn)豪喜達(dá)屋5億用戶信息泄露
以上幾個(gè)影響重大的事件影響范圍已達(dá)數(shù)十億,從分布來(lái)看,顯然商業(yè)和互聯(lián)網(wǎng)行業(yè)是重災(zāi)區(qū),但政府、教育、醫(yī)療等公共服務(wù)性機(jī)構(gòu)情況也不容客觀,社保公積金賬戶信息、試題、病患信息,這些數(shù)據(jù)都在全國(guó)不同區(qū)域不同程度的泄露。
去年五月,歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱“《條例》”)正式生效。這被認(rèn)為是有史以來(lái)最嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī),監(jiān)管和懲罰力度空前。《條例》大大強(qiáng)化了企業(yè)的數(shù)據(jù)保護(hù)責(zé)任,要求企業(yè)必須用合法、公平和透明的方法收集、處理用戶信息,并以通俗的語(yǔ)言向用戶解釋收集數(shù)據(jù)的方式。其還規(guī)定企業(yè)有義務(wù)采取一切合理措施,刪除或糾正有誤的個(gè)人數(shù)據(jù),否則將被處以最高2000萬(wàn)歐元的罰款;一旦發(fā)現(xiàn)用戶數(shù)據(jù)泄露,有責(zé)任在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告。中國(guó)數(shù)據(jù)泄露立法也在討論中,將來(lái)如果數(shù)據(jù)泄露不上報(bào),將會(huì)重罰。中了勒索病毒之后,不要以為花錢就可以解決,現(xiàn)在性質(zhì)正在轉(zhuǎn)變?yōu)閿?shù)據(jù)泄露,如不重視有可能影響到企業(yè)的聲譽(yù),還可能違法!所以加大信息安全投入,重視信息安全建設(shè),打鐵還得自身硬,提前做好防護(hù)才是王道。