Site icon 暗网里

英国警方数据被泄露到暗网,俄罗斯黑客通过1300万条记录勒索赎金

在明显拒绝支付赎金要求后,俄罗斯黑客将1300万条英国警方数据的样本泄露到暗网上,以示报复。

这些记录是从警方一个系统承包商那里偷来的,俄罗斯黑客只公布了他们偷走的一小部分,但威胁说如果他们的要求继续被拒绝,他们会公布更多的记录。目前还不清楚到底有哪些个人信息被泄露,但暗网样本包含的迹象表明,这些数据是从一个国家交通监控系统中窃取的,并包含被抓到的超速司机的照片。

英国警方数据被从承包商处拿走,拒绝赎金导致部分信息泄露

这次黑客攻击被认为是Clop团伙所为,这个勒索软件团伙自2019年以来一直在运作,到2021年初尤为活跃(其之前最大的两次入侵是ExecuPharm和商业合作公司Accellion)。去年夏天,该团伙的一些成员在乌克兰被捕,但该团伙的俄罗斯黑客很快让它重新开始运作。该团伙从一些攻击中赚取了数千万美元,被认为是网络犯罪的主要参与者。

众所周知,该组织运营着一个暗网网站,通过该网站对不付费的受害者进行爆料。在这个案例中,受害者是位于苏格兰的IT支持公司Dacoll Group。Dacoll与英国政府签订合同,为警察国家计算机(PNC)提供服务,这是一个由该国许多执法机构使用的共享系统。

Dacoll公司显然被钓鱼成功,使俄罗斯黑客获得了大约1300万条英国警察数据记录。该公司随后拒绝支付赎金要求,赎金数额不详。目前,人们对哪些信息被泄露所知不多,但该团伙将数百个数据样本放在其暗网上作为攻击的证据,并威胁说如果承包商不重新考虑其对赎金的立场,将发布更多的数据。

国家网络安全中心表示,它正在与Dacoll公司和执法机构合作,调查这一事件。Dacoll公司最近发表声明表示,泄露事件发生在10月5日。此后,英国警方数据的样本已经从暗网网站上删除,目前尚不清楚俄罗斯黑客是否打算兑现他们发布更多数据的威胁。

俄罗斯黑客泄露信息表明交通摄像头数据被盗

在上传到暗网的英国警方数据样本中,有交通摄像头的照片,是那种在检测到车辆违反限速时自动触发的照片。这表明,这些记录是从自动车牌识别(ANPR)系统中窃取的。一些被泄露的样本显示了被测速仪拍到的司机的面部特写图像。

英国公民无疑希望了解更多关于俄罗斯黑客究竟能接触到什么的细节,但英国机构和Dacoll公司自然对攻击的细节非常沉默。鉴于Dacoll公司通过其子公司NDI Technologies为英国90%的执法机构提供服务,我们有理由感到担忧。该公司的NDI识别系统公司是支持ANPR系统的公司;英国警方的数据通过该公司的软件产品与英格兰高速公路和DVLA共享。

俄罗斯黑客再次强调了这样一个事实,即组织网络安全只有在拥有可信访问权的供应商的供应链中最薄弱的环节才是最好的,但这一次可能会产生比以往更严重的后果。

正如Gurucul公司首席执行官Saryu Nayyar所观察到的。 "目前还不清楚公布的证据是否有价值,尽管它似乎有可能被用来识别和勒索驾车司机和其他个人……在这种情况下,数据虽然应该被视为机密,但很容易被下载后进行钓鱼攻击。 警方和他们的供应商Dacoll没有什么动力去支付这个特殊的赎金,所以身份泄露的负担将落在那些被证据引用的人身上。这很不幸,Dacoll公司的一个错误给其他人造成了潜在的损失,所以警方应该加固自己的系统,并为那些证据被泄露的人提供帮助。"

这一事件提出了这样一个问题:当被信任的拥有最敏感个人信息的政府机构出现安全故障时,可以指望普通人做些什么。进入假期后,英国政府将采取什么措施来纠正这种情况还有待观察;英国公民仍然需要知道俄罗斯黑客到底拿走了什么。最坏的情况是获取他们的驾驶执照信息,这是窃贼为身份欺诈目的而改变地址的关键因素。

YouAttest公司的首席执行官Garret Grajek指出,推动力主要落在能够接触到这些敏感信息的政府承包商身上:“真正的问题是,企业该如何处理所有发生的混乱情况?关键是要专注于坚实的安全实践。NIST关于零信任(SP 800-27)和云安全(SP 800-210)的指导方针是一个好的开始。身份是所有这些指令和应对措施的关键。这要从企业知道哪些身份被授权使用哪些资源开始,这对网络安全是至关重要的。”

Veridium的首席运营官Baber Amin对从根本上保证英国警方数据的安全有额外的建议:"在这种情况下,IT公司和英国警方都应该实施匹配的访问控制。像往常一样,防止成功的网络钓鱼攻击需要一种分层的安全和访问方法。“

通过要求每个连接都要经过认证来消除所有未经认证的访问。
通过启用多个因素来消除所有的单因素认证。
根据被访问的信息,根据其信任程度分配不同的认证因素。
建立一个多渠道的认证策略,这样,一个被破坏的渠道就不会破坏系统。
即使用户通过某种MFA认证,也不允许完全访问所有系统。对所有的访问进行分类。
实施寻找异常活动的工具,例如探测、多次失败尝试、大量数据输入或大量数据拖取。
实施评估终端信任的工具,并能识别机器人和自动程序。
实施行为生物识别技术,将正常用户与机器人和不良行为者区分开来。

受害者是位于苏格兰的IT支持公司Dacoll Group,该公司为英国警察国家计算机(PNC)提供服务,这是一个由该国许多执法机构使用的共享系统。

鉴于俄罗斯黑客自愿删除了英国警方数据的预告样本,该事件有可能会悄然结束,因为Clop担心它可能会引起与REvil最近一样的热度(该组织已经经受了一波逮捕)。但是,由于内政部采取了淡化该事件和拖延对潜在损害进行公开评估的做法,英国居民在进入假日季节时将有一个额外的担忧,而这是他们不应该处理的。

Exit mobile version