美國(guó)面臨斷油危機(jī),勒索軟件元兇浮出水面
由于美國(guó)最大的輸油管道商Colonial Pipeline上周末遭遇勒索軟件攻擊暫停運(yùn)營(yíng),美國(guó)運(yùn)輸部聯(lián)邦機(jī)動(dòng)車(chē)安全局(FMCSA)昨日發(fā)布《地區(qū)緊急狀態(tài)聲明》,臨時(shí)解除禁止燃料公路運(yùn)輸?shù)姆桑⒃试S油罐車(chē)駕駛員工作更長(zhǎng)的時(shí)間。
該豁免適用于將汽油、柴油、噴氣發(fā)動(dòng)機(jī)燃料和其他精煉石油產(chǎn)品運(yùn)輸至阿拉巴馬州、阿肯色州、哥倫比亞特區(qū)、特拉華州、佛羅里達(dá)州、喬治亞州、肯塔基州、路易斯安那州、馬里蘭州、密西西比州、新澤西州、紐約州、北卡羅來(lái)納州、賓夕法尼亞州、南卡羅來(lái)納州、田納西州、德克薩斯州和弗吉尼亞州等十八個(gè)州的車(chē)輛。
1. 緊急狀態(tài)聲明是“杯水車(chē)薪”
Colonial Pipeline的輸油管道每天運(yùn)送250萬(wàn)桶石油,占東海岸柴油、汽油和噴氣發(fā)動(dòng)機(jī)燃料供應(yīng)量的45%。
除油罐車(chē)外,美國(guó)運(yùn)輸部發(fā)布的臨時(shí)赦免令還允許通過(guò)油輪將石油產(chǎn)品運(yùn)到紐約,但這遠(yuǎn)遠(yuǎn)不足以彌補(bǔ)輸油管道中斷損失的運(yùn)力,大量燃料現(xiàn)在被困在德克薩斯州的煉油廠。
獨(dú)立石油市場(chǎng)分析師高拉夫·夏爾馬(Gaurav Sharma)指出:“除非在星期二之前解決問(wèn)題,否則他們將陷入大麻煩。首先受到打擊的地區(qū)將是亞特蘭大和田納西州,然后多米諾骨牌效應(yīng)會(huì)迅速傳遞到紐約。”
本周一,美國(guó)的燃油價(jià)格尚未受到勒索軟件攻擊事件影響,但專家指出,如果輸油管道中斷時(shí)間延長(zhǎng),勢(shì)必會(huì)影響到油價(jià)和期貨市場(chǎng)。
2. 真兇浮出水面
波士頓安全公司Cybereason的首席執(zhí)行官Lior Div周一向路透社透露,攻擊Colonial Pipeline的勒索軟件團(tuán)伙是DarkSide:“它們非常新,但組織性很強(qiáng)。”Div透露,DarkSide的數(shù)據(jù)泄露網(wǎng)站上已經(jīng)有80多個(gè)未支付贖金的受害企業(yè)的數(shù)據(jù)被公開(kāi)泄漏。
據(jù)悉,Darkside經(jīng)營(yíng)著一個(gè)勒索軟件即服務(wù)業(yè)務(wù),為其他網(wǎng)絡(luò)犯罪“會(huì)員”提供勒索軟件租用業(yè)務(wù),而這些會(huì)員在成功實(shí)施勒索軟件攻擊后向DarkSide支付一定比例的收入。
安全牛查閱DarkTracer的最新勒索軟件統(tǒng)計(jì),發(fā)現(xiàn)2020年DarkSide的攻擊數(shù)量位列TOP10行列(第九名,下圖)。
自2020年年中以來(lái),Darside一直保持活躍,盡管該團(tuán)伙1月份曾宣布“金盆洗手”并發(fā)布了解密密鑰,但安全公司Cyber Reason指出,該組織的“隱退”只是掩人耳目的方法,最近又發(fā)布了DarkSide 2.0,其背后是一群非常資深的勒索軟件攻擊專家。
DarkSide還有一個(gè)非常高效的公關(guān)部門(mén),經(jīng)常邀請(qǐng)記者檢查其泄漏的數(shù)據(jù),并聲稱曾匿名向慈善機(jī)構(gòu)捐款。今年3月份,DarkSide發(fā)布了功能和“贏利”能力更強(qiáng)的新版勒索軟件,不但在線發(fā)布新聞稿還邀請(qǐng)媒體對(duì)其進(jìn)行采訪。
DarkSide的代碼看上去就是一個(gè)標(biāo)準(zhǔn)的勒索軟件,與許多勒索軟件類(lèi)似,避免使用俄語(yǔ)、哈薩克語(yǔ)和烏克蘭語(yǔ),讓自己看上去與前蘇聯(lián)加盟共和國(guó)沒(méi)有關(guān)系。
但是Digital Shadows的研究表明,DarkSide網(wǎng)絡(luò)犯罪團(tuán)伙可能位于講俄語(yǔ)的國(guó)家,因?yàn)樗苊饬斯羟疤K聯(lián)各共和國(guó),包括俄羅斯、烏克蘭、白俄羅斯、格魯吉亞、亞美尼亞、摩爾多瓦、阿塞拜疆、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、土庫(kù)曼斯坦和烏茲別克斯坦。
Digital Shadows聯(lián)合創(chuàng)始人James Chappell認(rèn)為,DarkSide很可能是從遠(yuǎn)程訪問(wèn)賬戶作為攻擊的切入點(diǎn),并且很可能已經(jīng)購(gòu)買(mǎi)了TeamViewer和微軟RDP等遠(yuǎn)程桌面軟件的泄漏賬戶。
參考資料:
https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
