彭博社報(bào)道，美國最大燃油管道公司 Colonial Pipeline 在5月7日就向Darkside支付了近 500 萬美元贖金。這一消息與早些時(shí)候的報(bào)道稱該公司無意支付贖金相矛盾。

人們認(rèn)為Colonial 是在恢復(fù)管道運(yùn)營的巨大壓力下決定支付贖金。黑客在收到贖金之后提供了解密工具，但整個(gè)解密過程非常緩慢，Colonial 因此繼續(xù)使用備份恢復(fù)系統(tǒng)。Colonial 在美國時(shí)間5月12日宣布恢復(fù)運(yùn)營，但同時(shí)表示整個(gè)燃油供應(yīng)鏈恢復(fù)正常還需要數(shù)天時(shí)間。

[[399491]]

500 萬美元贖金對于 Colonial 這樣大的公司而言是非常低的，勒索軟件團(tuán)伙可能也意識(shí)到他們的目標(biāo)相當(dāng)棘手，可能會(huì)引發(fā)政府的強(qiáng)烈反應(yīng)。美國政府通常反對支付贖金，因?yàn)檫@會(huì)激勵(lì)攻擊者去尋找下一個(gè)勒索目標(biāo)。

FBI和CISA發(fā)布聯(lián)合警報(bào)

在Colonial Pipeline遭受毀滅性的勒索軟件攻擊后，聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份聯(lián)合警報(bào)。該警報(bào)于當(dāng)?shù)貢r(shí)間5月11日發(fā)布，包含了關(guān)于DarkSide的一些背景信息。

警報(bào)稱，"網(wǎng)絡(luò)犯罪團(tuán)伙利用DarkSide進(jìn)入受害者的網(wǎng)絡(luò)，對數(shù)據(jù)進(jìn)行加密和泄露，然后這些團(tuán)伙威脅說，如果受害者不支付贖金，就會(huì)暴露數(shù)據(jù)。DarkSide團(tuán)伙最近一直在對不同組織下手，包括制造業(yè)、法律、保險(xiǎn)、醫(yī)療保健和能源部門。"

DarkSide的勒索軟件針對RaaS(也稱為勒索軟件聯(lián)盟計(jì)劃)客戶。這種網(wǎng)絡(luò)網(wǎng)絡(luò)犯罪的方法現(xiàn)在相當(dāng)流行，因?yàn)橹恍枰粋€(gè)核心團(tuán)隊(duì)來開發(fā)惡意軟件，RaaS可以通過訂閱的方式向犯罪分子提供勒索軟件。另外，當(dāng)支付贖金時(shí)，創(chuàng)作者會(huì)收到一部分利潤。作為交換，開發(fā)人員不斷改進(jìn)他們的惡意軟件產(chǎn)品。

DarkSide甚至還為自己打造一個(gè)羅賓漢一般的人設(shè)，其攻擊目標(biāo)不針對醫(yī)療、護(hù)理院或治療提供者，甚至還為其捐款。

Exchange漏洞成為他們被勒索團(tuán)伙“光顧”的原因

援引《紐約時(shí)報(bào)》記者 Nicole Perlroth 報(bào)道，成品油管道公司 Colonial Pipeline 的初期調(diào)查結(jié)果標(biāo)明，該公司 IT 基礎(chǔ)設(shè)施內(nèi)“最可能的罪魁禍?zhǔn)?rdquo;就是尚未修復(fù)的微軟 Exchange 服務(wù)。

Nicole Perlroth 在推文中指出，關(guān)于 Colonial Pipeline 的取證發(fā)現(xiàn)，他們?nèi)栽谑褂么嬖诼┒吹奈④?Exchange 版本。

前情回顧

5月10日，DarkSide勒索軟件團(tuán)伙發(fā)表了一份新聞聲明，稱他們的組織是 "非政治性的"，與任何政府沒有關(guān)系。同時(shí)，他們表示不要將他們與任何一個(gè)政府聯(lián)系起來，他們的目標(biāo)只是賺錢而已，不是為了某些社會(huì)問題。

此外，該團(tuán)伙還表示從5月10日起，他們將在攻擊前檢查被攻擊對象，以避免造成某些社會(huì)后果。

5月9日，根據(jù)美國運(yùn)輸部的聲明，針對勒索軟件攻擊，美國多州宣布緊急放寬道路運(yùn)輸燃油的限制。

放寬限制意味著以下18個(gè)州的駕駛員在運(yùn)輸汽油，柴油，噴氣燃料和其他精煉石油產(chǎn)品時(shí)可以運(yùn)輸更多貨物或擁有更多時(shí)間。

緊急規(guī)定包含的18個(gè)州如下：

阿拉巴馬州，阿肯色州，哥倫比亞特區(qū)，特拉華州，佛羅里達(dá)州，喬治亞州，肯塔基州，路易斯安那州，馬里蘭州，密西西比州，新澤西州，紐約州，北卡羅來納州，賓夕法尼亞州，南卡羅來納州，田納西州，德克薩斯州和弗吉尼亞州。

此番決定是因?yàn)檫\(yùn)營美國最大的汽油和柴油的管道系統(tǒng)的Colonial公司遭受網(wǎng)絡(luò)攻擊，攻擊導(dǎo)致該公司向美國東部沿海主要城市輸送油氣的管道系統(tǒng)下線。

據(jù)悉，Colonial雇傭了第三方網(wǎng)絡(luò)安全公司介入調(diào)查并聯(lián)系了執(zhí)法機(jī)構(gòu)，該公司表示正在努力恢復(fù)運(yùn)營，盡量將對客戶的影響降到最低。

受影響的管道長約5500英里，為美國東部提供了45%的燃料供應(yīng)，每天可將250萬桶石油從墨西哥灣經(jīng)過美國東部運(yùn)送至新澤西州，為從休斯頓到紐約等大城市的燃料分銷商提供汽油、柴油和燃料。

受攻擊影響，紐交所汽油期貨上漲1.32美分，收于每加侖2.1269美元。

目前尚不清楚該攻擊是否針對Colonial公司的工控系統(tǒng)，也不清楚攻擊是由哪個(gè)攻擊組織發(fā)起的。

《泰晤士報(bào)》表示，管道關(guān)閉不太可能立即對消費(fèi)者造成影響，輸送的大部分燃料都不是直接銷售的。而且由于疫情影響，美國的能源消耗有所減少，但目前仍不清楚管道會(huì)被關(guān)閉多長時(shí)間。

由于影響惡劣，此次勒索攻擊已經(jīng)已引起美國立法者的呼吁，要求加強(qiáng)對美國關(guān)鍵能源基礎(chǔ)設(shè)施的保護(hù)，以防止黑客攻擊。