久久精品人人爽快人人爽爽,亚洲AV无码乱码国产精品果冻,最新精品国偷自产手机在线,欧美日韩在线播一区二区三区

安全資訊

感染勒索病毒造成數據泄露,有可能判三年!

【時間】2019-12-18

【編輯】轉載

【瀏覽量】

【等級保護QQ交流群】881590869

“勒索病毒在全世界爆發已經很嚴重了,但也有很多企業拒絕交贖金。幾家著名勒索病毒集團表示將要公開這些中勒索病毒的企業信息,還有從受害公司竊取的數據。”


01


勒索軟件攻擊現在是數據泄露


似乎勒索軟件的禍害還不夠嚴重,必需加碼:幾家著名的勒索軟件供應商已經表示,他們計劃開始發布拒絕付款的受害者所竊取的數據。更糟的是,一個勒索軟件團伙現在已經創建了一個公共網站,用于發布一些不合作的受害公司,不合作的受害公司中了勒索病毒,選擇重建其業務,而不是悄悄地交贖金。網站專門發布不合作公司的名單。



約在48小時前,Maze Ransomware 病毒背后的網絡犯罪分子在公共Internet 上架設了一個網站,目前它列出了拒絕支付贖金要求的8名惡意軟件受害者的公司名稱和相應的網站。

該網站用服務英語寫道:在這網站發布的公司,都是那些不打算交錢,不合作的公司名單,并試圖隱瞞黑客已經成功入侵并下載其重要資源的公司。不合作公司的數據還有重要文件資源,將會發布這網站上。請關注最新新聞。

安全專家:KrebsOnSecurity能夠驗證該站點上列出的至少一家公司最近確實遭受了新聞媒體尚未報道的Maze勒索軟件侵擾。
Maze受害者被披露的信息包括初始感染日期,一些被盜的Microsoft Office,文本和PDF文件,據稱從受害者那里竊取的文件總量(以千兆字節為單位),以及受害者的IP地址和計算機名稱。服務器, 都是被Maze勒索軟件感染的目標、這事發生之后使某些人感到震驚,之前就有黑客警告過可能會走這一步。沒想來這樣的結束來的怎么快。

“多年來,勒索軟件開發商和分支機構一直在告訴受害者他們必須支付贖金,否則被盜數據將被公開發布,”勞倫斯·艾布拉姆斯(Lawrence Abrams)說。“盡管勒索軟件參與者窺探受害者的數據是一個眾所周知的秘密,而且在許多情況下,它們在勒索加密數據之前就將其竊取了,但他們從未真去公布這些數據,只是威脅。

這種情況在上個月末發生了變化,當時Maze勒索軟件背后的詐騙者威脅到聯合環球公司,如果他們不支付贖金,他們將公布他們的機密文件。當他們沒有收到付款時,就在黑客論壇上公布了700MB的數據。

“勒索軟件攻擊現在是數據泄露”
“在勒索軟件攻擊期間,一些入侵行為分析已經告訴公司,攻擊者已閱讀公司文件并熟悉公司內部的機密。應該將其視為數據泄露,但許多勒索軟件的受害者希望隱瞞此事并將病毒掃地出門,并希望沒人能發現。現在,勒索軟件運營商正在公布受害者的數據,有了這些改變,被迫公司不得不將這些攻擊視為數據泄露。

在負責管理“ Sodinokibi / rEvil” 勒索軟件帝國的網絡犯罪分子發布在流行的暗網論壇上幾天后,Maze勒索病毒集團就采取了行動,他們還計劃開始使用被盜的文件和數據作為一種手段來威脅受害者支付贖金。

Sodinokibi / rEvil 勒索軟件幫派的負責人承諾在最近的網絡暗網論壇帖子中公開宣布受害者的名字并讓他們感到羞恥。
圖片來源:BleepingComputer

對于那些沒有公開自己實際情況或想瞞報企業已經中勒索病毒,數據在勒索集團手中的企業,將是重大打擊。這樣的受害企業如果公布出來之后將會因為,沒有效保護客戶數據而已面臨高額罰款。

如果這些受害者之前中勒索病毒可以重建業務線或者是還原數據,也許可以避免公眾知曉公司內部被勒索軟件攻破,但是像Maze Ransomware 現在已經建立的站點,公開這些消息,這事就變的很復雜,而且會有好戲看。


02


中國數據泄露相關處罰案例


案例一:716萬元處罰銀行泄露數據信息

中國人民銀行發布了一則高達716萬元的行政處罰信息,處罰對象包括四大國有銀行和民生、光大、廣發、中信、浦發等多家銀行,還包括保險公司、資產管理公司等多家金融機構。這些金融機構在過去兩個月時間里,都曾發生泄露信息、瞞報數據等違規行為,有銀行機構不僅過失泄露信息,而且未經授權便查詢個人信用信息,甚至違法出售個人信息。


在違規處罰中,有三家金融機構的單個罰單超過50萬。

案例二:被黑客入侵,網警察處罰。

公安局網安支隊經過現場調查和勘驗取證工作,并依法對網絡中心系統管理員和操作維護人員進行詢問。最終確認淮南職業技術學院招生信息管理系統存在越權漏洞,后臺登錄密碼弱口令,學院未落實網絡安全管理制度,未建立網絡安全防護技術措施、網絡日志留存少于六個月,未采取數據分類、重要數據備份和加密措施,致使系統存儲的4353名學生的身份信息泄露。


市公安局網安支隊依法傳喚學院分管網絡信息安全工作的院長和網絡中心主任及相關工作人員進行調查,確認該學校因未落實網絡安全等級保護制度造成數據泄露,依法對淮南職業技術學院處以立即整改和行政警告的處罰措施。對泄露的學生身份信息流向,市公安局正在依法調查中。


案例三:科技部處罰醫院,原因:數據安全泄露

去年,科技部官網集中公開了6份行政罰單,內容涉及人類遺傳資源采集、收集、買賣、出口、出境審批,罰單分別在不同時間開出。其中最新的是國科罰〔2018〕1號對阿斯利康投資(中國)有限公司(下稱“阿斯利康”)7月12日的處罰,最早一則是國科罰〔2015〕2號對深圳華大基因科技服務有限公司(下稱“華大基因”)2015年9月7日的處罰通知。除了上述兩家外,赫然在列的還有廈門艾德生物、昆皓睿誠醫藥、復旦大學附屬華山醫院以及正在申請港股IPO的藥明康德。處罰原因:數據安全泄露


03

相關法律法規


了解一下《網絡安全法》
網絡安全法第21條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。


網絡安全法第59條第1款規定,網絡運營者不履行本法第21條、第25條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

2019年11月1日起,最高人民法院、最高人民檢察院日前聯合發布的《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)正式實施。《解釋》共十九條,對拒不履行信息網絡安全管理義務罪的具體情形、定罪量刑標準及有關法律適用問題作了全面、系統的規定,具體如下:

第四條  拒不履行信息網絡安全管理義務,致使用戶信息泄露,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第二項規定的“造成嚴重后果”:
(一)致使泄露行蹤軌跡信息、通信內容、征信信息、財產信息五百條以上的;
(二)致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的用戶信息五千條以上的;
(三)致使泄露第一項、第二項規定以外的用戶信息五萬條以上的;
(四)數量雖未達到第一項至第三項規定標準,但是按相應比例折算合計達到有關數量標準的;
(五)造成他人死亡、重傷、精神失常或者被綁架等嚴重后果的;
(六)造成重大經濟損失的;
(七)嚴重擾亂社會秩序的;
(八)造成其他嚴重后果的。

《中華人民共和國刑法》第二百八十六條之一 拒不履行信息網絡安全管理義務罪:
 網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金 
(一)致使違法信息大量傳播的; 
(二)致使用戶信息泄露,造成嚴重后果的; 
(三)致使刑事案件證據滅失,情節嚴重的; 
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。

未來勒索病毒性質正在轉變為數據泄露,感染勒索病毒,按數據泄露的話,可以直接入刑!我們假設一個場景:XX醫院感染勒索病毒,沒有發現或者是沒有檢測到勒索病毒已經盜走了相關數據。只解密勒索病毒,性質就轉變為數據泄露,醫院有很多病人信息。就達到法律規定的 “致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的用戶信息五千條以上的;”相關責任人,可按最新法律法規處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。


04

中國數據泄露立法正在推進


今年全國兩會上,個人信息保護再次成為熱點。全國政協委員劉偉建議加大對數據泄露的懲罰力度。

1、去年6.18,圓通10億條用戶信息數據泄露后被黑產出售
2、去年8.28,華住集團2.4億入住記錄泄露
3、去年8月,順豐3億條用戶信息泄露
4、去年11.30,萬豪喜達屋5億用戶信息泄露


以上幾個影響重大的事件影響范圍已達數十億,從分布來看,顯然商業和互聯網行業是重災區,但政府、教育、醫療等公共服務性機構情況也不容客觀,社保公積金賬戶信息、試題、病患信息,這些數據都在全國不同區域不同程度的泄露。


去年五月,歐盟《通用數據保護條例》(以下簡稱“《條例》”)正式生效。這被認為是有史以來最嚴格的網絡數據管理法規,監管和懲罰力度空前。《條例》大大強化了企業的數據保護責任,要求企業必須用合法、公平和透明的方法收集、處理用戶信息,并以通俗的語言向用戶解釋收集數據的方式。其還規定企業有義務采取一切合理措施,刪除或糾正有誤的個人數據,否則將被處以最高2000萬歐元的罰款;一旦發現用戶數據泄露,有責任在72小時內向監管機構報告。

中國數據泄露立法也在討論中,將來如果數據泄露不上報,將會重罰。中了勒索病毒之后,不要以為花錢就可以解決,現在性質正在轉變為數據泄露,如不重視有可能影響到企業的聲譽,還可能違法!所以加大信息安全投入,重視信息安全建設,打鐵還得自身硬,提前做好防護才是王道。


服務熱線

138-6598-3726

產品和特性

價格和優惠

安徽靈狐網絡公眾號

微信公眾號