一、小白劇場(chǎng)

小白：大東，如果你的個(gè)人信息被盜，你會(huì)怎么做呀？

大東：啊，這……

小白：嘻嘻，純屬好奇。

大東：那你呢，說來聽聽。

小白：emm，我也不知道。

大東：有這么糾結(jié)嘛？

小白：這個(gè)真的有，我要是給他支付贖金吧，我的信息可能就不會(huì)被放在暗網(wǎng)泄露了，但是這樣就是助長(zhǎng)了某些組織的不正之風(fēng)。

大東：一身正氣，精神小伙，白！那就不支付啦。

信息泄露（圖片來自網(wǎng)絡(luò)）

小白：不不不，不支付，我的信息泄露怎么辦？住址、電話、銀行卡號(hào)等等，我哪還有隱私？

大東：哈哈，這個(gè)夠小白思考一陣子了，來，我給你講個(gè)事吧。

小白：啥事呀？

大東：在2021年3月底的時(shí)候，加拿大網(wǎng)絡(luò)安全公司Emsisoft 的研究員凱特（Kat Garcia）收到了網(wǎng)絡(luò)黑客組織Clop的郵件，郵件中聲稱他們已經(jīng)掌握了凱特的個(gè)人電話、郵箱、家庭住址、信用卡信息和社會(huì)安全號(hào)碼。

小白：真可惡！太囂張！

二、話說事件

大東：好在凱特將受到威脅一事告訴了記者，2021年4月14日，反映目前互聯(lián)網(wǎng)黑客活動(dòng)最頻繁的黑客組織 Clop 的一部分運(yùn)作模式的報(bào)道發(fā)表，將該組織行為公之于眾。

小白：不得不承認(rèn)，凱特是勇者，但她一定不是唯一的受害者。

大東：沒錯(cuò)，據(jù) ComputerWeekly 此前的報(bào)道顯示，2021年2月11日，新加坡電信公司的一臺(tái)舊服務(wù)器遭遇黑客入侵；2月24日，加拿大飛機(jī)制造商龐巴迪公司服務(wù)器被黑，部分內(nèi)部數(shù)據(jù)被公開在暗網(wǎng)；3月4日，Clop 入侵網(wǎng)絡(luò)安全服務(wù)供應(yīng)商 Qualys 的服務(wù)器，并在暗網(wǎng)公布了文件截圖，泄露數(shù)據(jù)包括發(fā)票、采購訂單、稅務(wù)文件和數(shù)據(jù)報(bào)告；3月23日，能源巨頭殼牌公司發(fā)布聲明，稱其數(shù)據(jù)服務(wù)器在 2020年12月就遭遇了黑客攻擊，被盜數(shù)據(jù)包括個(gè)人數(shù)據(jù)以及設(shè)計(jì)公司和利益相關(guān)者的數(shù)據(jù)。

Clop （圖片來自網(wǎng)絡(luò)）

小白：那么Clop究竟是怎樣運(yùn)作的呢？

大東：他們通過威脅某些公司的員工獲得所需數(shù)據(jù)，再利用這些數(shù)據(jù)入侵目標(biāo)公司的服務(wù)器。

小白：他們是怎么做到的呀？

大東：這一過程中，該組織頻繁利用了一個(gè)文件共享服務(wù)漏洞。

小白：這個(gè)漏洞來源是啥呀？

大東：這一漏洞出現(xiàn)在由 Appliance 公司提供技術(shù)支持的文件系統(tǒng)中，全球約有 300 家企業(yè)在使用這項(xiàng)服務(wù)。

小白：這個(gè)入侵手段似曾相識(shí)。

大東：沒錯(cuò)，供應(yīng)鏈攻擊，熟悉嗎？

小白：黑客運(yùn)用軟件漏洞？

大東：沒錯(cuò)，利用軟件漏洞對(duì)供應(yīng)商的客戶展開大規(guī)模攻擊，之后以數(shù)據(jù)為要挾要求公司支付贖金。

小白：受害者及時(shí)付款，數(shù)據(jù)就會(huì)被刪除嘛？

大東：沒錯(cuò)。黑客甚至?xí)浿苿h除視頻以證明危機(jī)已經(jīng)解除。但是，如果不按時(shí)付款，Clop 就會(huì)開始逐步放出該公司的數(shù)據(jù)。

小白：現(xiàn)在有多少企業(yè)和機(jī)構(gòu)受害啦？

大東：Clop 的受害者名單上已經(jīng)擴(kuò)展到了多達(dá) 50 家企業(yè)和機(jī)構(gòu)，從殼牌這樣的商業(yè)公司到斯坦福大學(xué)這樣的學(xué)校均在名單之上。

小白：好家伙，學(xué)校都不放過。

大東：還有你想不到的呢。一些受害公司向 Vice 透露，Clop 在與他們交涉的過程中 “彬彬有禮”，并且愿意讓步。此前曾有公司與之討價(jià)還價(jià)，最終將贖金從 2000 萬美金降低到了 600 萬美金。如果快速支付贖金，Clop 還會(huì)提供一些 " 優(yōu)惠 "，在 3-4 天內(nèi)快速支付贖金的公司，Clop 會(huì)給他們打 30% 的折扣。

小白：還打折？真讓人哭笑不得！

三、大話始末

大東：目前我們所知道的受害者和案件或許只是冰山一角。一位長(zhǎng)期追蹤網(wǎng)絡(luò)黑客行動(dòng)的研究者告訴 Vice，Clop看似于 2020 年年底活躍至今，但事實(shí)上該組織存在的時(shí)間遠(yuǎn)比想象中的要長(zhǎng)久。

小白：咦？此話怎講？

大東：他們可能已經(jīng)多次易名，真要追蹤起來，2017-2018 年間在網(wǎng)絡(luò)展開針對(duì)金融、零售和酒店業(yè)公司的有組織黑客行動(dòng)的網(wǎng)絡(luò)組織 FIN11，以及 2019 年臭名昭著的比特幣勒索事件的始作俑者 TA505 都是該組織的前身。

小白：據(jù)我所知，F(xiàn)IN11是一個(gè)有經(jīng)濟(jì)動(dòng)機(jī)的黑客組織，之前它使用惡意電子郵件進(jìn)行攻擊，逐漸轉(zhuǎn)變?yōu)槔账鬈浖簟?/p>

大東：沒錯(cuò)。該組織經(jīng)營著大量業(yè)務(wù)，主要針對(duì)北美和歐洲幾乎所有行業(yè)部門的公司竊取數(shù)據(jù)和部署Clop勒索軟件。

小白：他們是怎么做到的？

大東：FIN11類似于APT，攻擊者引人注目的不是他們的老練，而是他們活動(dòng)的規(guī)模。在FIN11的釣魚操作中有很大的漏洞，但是當(dāng)活動(dòng)時(shí)，該組織每周會(huì)進(jìn)行多達(dá)五次的大流量活動(dòng)。

小白：活動(dòng)規(guī)模確實(shí)很大。

大東：Mandiant威脅情報(bào)公司（Mandiant Threat Intelligence）的高級(jí)分析經(jīng)理金伯利·古迪（Kimberly Goody）稱，受害者必須先完成驗(yàn)證碼挑戰(zhàn)才能收到帶有惡意宏代碼的Excel電子表格，一旦執(zhí)行，該代碼將交付FRIENDSPEAK，后者下載了另一個(gè)FIN11特有的惡意軟件MIXLABEL。

小白：他們的每次行動(dòng)都能獲利嘛？

大東：那不一定啦！Mandiant公司也對(duì)許多FIN11入侵事件做出了回應(yīng)，但研究人員僅觀察到該小組在少數(shù)情況下成功地通過訪問獲利。這可能意味著攻擊者在網(wǎng)絡(luò)釣魚操作中撒了一張大網(wǎng)，然后根據(jù)區(qū)域、地理位置或感知到的安全態(tài)勢(shì)等特征選擇進(jìn)一步利用哪些受害者。

小白：FIN11還有什么活動(dòng)嘛？

大東：FIN11已經(jīng)部署了Clop勒索軟件，并威脅要公布泄露的數(shù)據(jù)，迫使受害者支付贖金。Clop是一類相對(duì)較新的勒索軟件，于2020年2月首次出現(xiàn)在公眾視野中，Clop背后團(tuán)隊(duì)的主要目標(biāo)是加密企業(yè)的文件，收到贖金后再發(fā)送解密器，目前Clop仍處于快速發(fā)展階段。

小白：我國企業(yè)有收到破壞嘛？

大東：2020年7月Clop在國際上（如韓國）開始傳播，而國內(nèi)某企業(yè)也在被攻擊后造成大面積感染，該惡意軟件暫無有效的解密工具，致該受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。

小白：果然是傷害大，范圍廣。

大東：值得注意的是，F(xiàn)IN11與另一個(gè)威脅組織TA505有著顯著重疊。TA505是Dridex銀行木馬和Locky勒索軟件的幕后黑手，它們通過Necurs僵尸網(wǎng)絡(luò)進(jìn)行惡意垃圾郵件攻擊。

小白：TA505是啥呀？可以講講嗎？

大東：TA505網(wǎng)絡(luò)間諜組織主要針對(duì)全球金融機(jī)構(gòu)進(jìn)行攻擊，自2014年以來就一直保持活躍狀態(tài)，在過去的幾年里，該組織已經(jīng)通過利用銀行木馬Dridex以及勒索軟件Locky和Jaff作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動(dòng)。

小白：那他倆有區(qū)別嗎？

大東：TA505的早期活動(dòng)和FIN11是不同的，所以兩個(gè)組織并不是同一個(gè)開發(fā)者。和大多數(shù)以獲利為動(dòng)機(jī)的攻擊者一樣，F(xiàn)IN11也不是所有的開發(fā)都是從頭開始的。

小白：比如？

大東：該組織使用的服務(wù)提供匿名域注冊(cè)，防彈主機(jī)（Bulletproof hosting）、代碼簽名證書以及私有或半私有惡意軟件。

小白：防彈主機(jī)感覺挺酷的！

大東：哈哈，防彈主機(jī)是指對(duì)用戶上傳和發(fā)布的內(nèi)容不加限制的一種網(wǎng)絡(luò)或域名服務(wù)，這種服務(wù)被通常利用來發(fā)垃圾郵件，在線賭博或網(wǎng)絡(luò)色情等。

小白：其實(shí)，一般的網(wǎng)絡(luò)服務(wù)提供商會(huì)經(jīng)由服務(wù)條款對(duì)特定內(nèi)容或行為加以限制，為了防止自己的IP段被基于IP協(xié)議的反垃圾過濾器屏蔽而遭正常用戶投訴，也會(huì)中斷對(duì)違規(guī)用戶的服務(wù)。防彈主機(jī)有什么不一樣嗎？

大東：防彈主機(jī)允許內(nèi)容提供者繞過法律或本地的互聯(lián)網(wǎng)檢查機(jī)構(gòu)，所以大部分的防彈主機(jī)都在境外（相對(duì)于內(nèi)容提供者的地理位置）。

四、小白內(nèi)心說

小白：大東，這些組織是十分可惡，但是如果我們信息遭到泄露應(yīng)該怎么辦呀？

自我保護(hù)（圖片來自網(wǎng)絡(luò)）

大東：最簡(jiǎn)單的方式是更改較為重要的密碼。尤其對(duì)于喜歡網(wǎng)購的人來說，個(gè)人信息往往和銀行賬號(hào)、密碼等重要的信息聯(lián)系在一起。因此，一旦個(gè)人信息泄露，應(yīng)該馬上更改重要的密碼，避免造成經(jīng)濟(jì)損失。

小白：這么一說，我也知道一點(diǎn)，那就是更換賬號(hào)。個(gè)人信息泄漏后，要第一時(shí)間換賬號(hào)。由于現(xiàn)在網(wǎng)絡(luò)十分發(fā)達(dá)，信息泄露之后如果不換賬號(hào)，那么在這個(gè)賬號(hào)下登陸的各種信息就會(huì)源源不斷地流出。因此，一旦發(fā)現(xiàn)了泄露的源頭，就要立刻終止使用這個(gè)賬號(hào)，從源頭切斷泄漏源。

大東：個(gè)人信息泄漏后，還要提醒身邊的親朋好友呀，要他們倍加防范，以免上當(dāng)受騙。必要時(shí)，要需要收集證據(jù)。收到各種各樣的郵件，接到天南海北的電話，這時(shí)候要留心，記下對(duì)方的電話或者是郵箱地址等有用的信息?？赡苓@些信息很瑣碎，但是一旦收集好這些信息不僅能幫助自己維權(quán)，而且還可能幫助更多的人。

小白：知道啦，防范風(fēng)險(xiǎn)，從我做起！