近日，安全研究人員發(fā)現(xiàn)，對美國東海岸主要輸油管道造成嚴(yán)重破壞的勒索軟件組織DarkSide很可能與攻擊過蘋果和特朗普的勒索軟件團(tuán)伙REvil有關(guān)。

DarkSide變體首次出現(xiàn)在2020年8月左右，但在運(yùn)營了幾個月后，DarkSide講俄語的所有者像當(dāng)今大多數(shù)勒索軟件組織一樣，向會員開放了它。

[[399482]]

Flashpoint的研究人員近日宣稱，DarkSide的所有者很可能曾經(jīng)是REvil的會員。REvil是最近屢見報道的一個勒索軟件組織，該組織曾試圖勒索蘋果和OEM供應(yīng)商廣達(dá)電腦，是最成功的勒索軟件即服務(wù)之一。

安全研究人員還認(rèn)為，DarkSide本身是基于REvil代碼開發(fā)的。

“贖金通知、壁紙、文件加密擴(kuò)展名和詳細(xì)信息的設(shè)計以及內(nèi)部工作方式都與REvil勒索軟件非常相似，后者是俄羅斯血統(tǒng)，并具有廣泛的會員計劃。”Flashpoint聲稱。

FireEye的分析則指出，這兩個RaaS的運(yùn)作存在重疊，但僅是因為有些威脅組織是兩家的共同會員。

據(jù)報道，盡管其官方網(wǎng)站依然無法訪問，但Colonial Pipeline管道運(yùn)營商已在停運(yùn)五天后于周三恢復(fù)運(yùn)營，該公司聲稱在未來幾天內(nèi)仍有可能發(fā)生服務(wù)中斷。

停電迫使一些州宣布緊急狀態(tài)，因為大量美國汽車司機(jī)排隊加油，汽油價格飛漲。

調(diào)查人員目前仍在調(diào)查攻擊源頭，去年收購了網(wǎng)絡(luò)安全公司BinaryEdge的網(wǎng)絡(luò)保險提供商Coalition認(rèn)為它可能已經(jīng)找到了“冒煙的槍”。

該公司聲稱Colonial Pipeline在受到攻擊時正在運(yùn)行易受攻擊的Microsoft Exchange Server版本，遠(yuǎn)程掃描顯示，它同時也正在運(yùn)行公開的SNMP、NTP和DNS服務(wù)。

Coalition威脅情報負(fù)責(zé)人Jeremy Turner認(rèn)為：“其他可能性包括互聯(lián)網(wǎng)上暴露的眾多網(wǎng)絡(luò)協(xié)議，以及針對性的、與ICS系統(tǒng)有關(guān)的虛擬化軟件或SSL 虛擬專用網(wǎng)訪問，使用的也是無效證書。”

“總體而言，Colonial Pipeline缺乏必要的安全防護(hù)意識。很容易受到攻擊的弱點(diǎn)包括：在其虛擬專用網(wǎng)上缺乏雙因素身份驗證(這是企業(yè)網(wǎng)絡(luò)安全中最常見的威脅之一)，也可能是Exchange服務(wù)器泛攻擊的間接受害者。”

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)近日已發(fā)布勒索軟件攻擊防護(hù)的最佳實(shí)踐指南。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文