保加利亞資安廠商Tad Group揭露了新型態的勒索攻擊Ransomhack,駭客這次並非以加密檔案當作威脅,而是竊取企業伺服器中的個人資料,並且威脅企業繳交贖金,否則公開這些資料,使企業受到歐盟最嚴格個資法GDPR的巨額罰款處罰。Tad Group提到,這個攻擊瞄準中大型企業,並要求支付價值1,000美元到20,000美元不等的加密貨幣作為贖金。
5月25日上線GDPR,目的用於保護歐盟居民個人隱私權,但沒想到卻被駭客用來作為威脅企業的武器。Tad Group創辦人Ivan Todorov警告,受害者是中型以及大型的保加利亞公司,被要求以無法追蹤來源的加密貨幣支付贖金,贖金從1,000美元到20,000美元不等。由於GDPR規定,觸法將被處以企業全球年度營業額的4%或是高達2,000萬歐元的罰鍰,對企業來說是個沉重的壓力。
前些時日肆虐一時的勒索軟體Ransomware,已讓企業與政府單位頭大,像是WannaCry蠕蟲為會主動感染電腦,以RSA 2048加密方法加密180種電腦檔案格式,並更改副檔名為WNCRY加密檔,受害者被威脅,需要在時間內支付贖金才能取得解密金鑰,超過時限金鑰就會被駭客撕票。而Ransomhack則是駭客竊取企業的使用者個人資料,並威脅暴露這些資料以獲取贖金。
不過尷尬的是,在企業被竊取使用者個人資料後,有義務於72小時內向主管機關通報資料洩漏,對這些被駭的保加利亞企業來說,主管機關就是個人資料保護委員會,該委員會將評估違規程度施以適當的裁罰,也就是說,即使企業繳交罰金企圖息事寧人,但最後還可能會因為沒有通報主管機關而被加重處罰。
Tad Group提到,這些被駭的保加利亞企業都採取了相對應的措施以因應GDPR,包括制定個人資料儲存規範或是安全政策等,但是卻忽略了可能來自網路攻擊所造成的資料外洩,該資安廠商提到,企業可以藉由滲透測試,來對企業進行針對性的網路攻擊模擬,以駭客使用的入侵技術測試企業的資安強度,並即時修補發現的漏洞。
沒有留言:
張貼留言