[[404491]]

美國收回了大部分贖金

在司法部的新聞發布會上，美國司法部于當地時間6月7日宣布其沒收了 DarkSide 勒索團伙所使用的一個加密貨幣錢包，其中包含了來自 Colonial Pipeline 的贖金。

FBI 特工表示，執法部門獲得了一個屬于 DarkSide 比特幣錢包的私鑰的控制權。使用此私鑰，FBI 收回了 Colonial Pipeline 發送的大約 75 個比特幣付款中的 63.7 個比特幣。由于付款后比特幣價格大幅下跌，按現在的價格計算，回收的比特幣價值約為 226 萬美元。

目前尚不清楚 FBI 獲得 DarkSide 錢包私鑰訪問權限的具體方法，但在 5 月 14 日時，勒索軟件團伙就曾聲稱無法訪問他們的一臺支付服務器。

前情回顧

彭博社報道，美國最大燃油管道公司 Colonial Pipeline 在5月7日就向Darkside支付了近 500 萬美元贖金。這一消息與早些時候的報道稱該公司無意支付贖金相矛盾。

人們認為Colonial 是在恢復管道運營的巨大壓力下決定支付贖金。黑客在收到贖金之后提供了解密工具，但整個解密過程非常緩慢，Colonial 因此繼續使用備份恢復系統。Colonial 在美國時間5月12日宣布恢復運營，但同時表示整個燃油供應鏈恢復正常還需要數天時間。

500 萬美元贖金對于 Colonial 這樣大的公司而言是非常低的，勒索軟件團伙可能也意識到他們的目標相當棘手，可能會引發政府的強烈反應。美國政府通常反對支付贖金，因為這會激勵攻擊者去尋找下一個勒索目標。

FBI和CISA發布聯合警報

在Colonial Pipeline遭受毀滅性的勒索軟件攻擊后，聯邦調查局和網絡安全和基礎設施安全局(CISA)發布了一份聯合警報。該警報于當地時間5月11日發布，包含了關于DarkSide的一些背景信息。

警報稱，"網絡犯罪團伙利用DarkSide進入受害者的網絡，對數據進行加密和泄露，然后這些團伙威脅說，如果受害者不支付贖金，就會暴露數據。DarkSide團伙最近一直在對不同組織下手，包括制造業、法律、保險、醫療保健和能源部門。"

DarkSide的勒索軟件針對RaaS(也稱為勒索軟件聯盟計劃)客戶。這種網絡網絡犯罪的方法現在相當流行，因為只需要一個核心團隊來開發惡意軟件，RaaS可以通過訂閱的方式向犯罪分子提供勒索軟件。另外，當支付贖金時，創作者會收到一部分利潤。作為交換，開發人員不斷改進他們的惡意軟件產品。

DarkSide甚至還為自己打造一個羅賓漢一般的人設，其攻擊目標不針對醫療、護理院或治療提供者，甚至還為其捐款。

Exchange漏洞成為他們被勒索團伙“光顧”的原因

援引《紐約時報》記者 Nicole Perlroth 報道，成品油管道公司 Colonial Pipeline 的初期調查結果標明，該公司 IT 基礎設施內“最可能的罪魁禍首”就是尚未修復的微軟 Exchange 服務。

Nicole Perlroth 在推文中指出，關于 Colonial Pipeline 的取證發現，他們仍在使用存在漏洞的微軟 Exchange 版本。

Colonial遭勒索，十八個州緊急放寬限制

5月10日，DarkSide勒索軟件團伙發表了一份新聞聲明，稱他們的組織是 "非政治性的"，與任何政府沒有關系。同時，他們表示不要將他們與任何一個政府聯系起來，他們的目標只是賺錢而已，不是為了某些社會問題。

此外，該團伙還表示從5月10日起，他們將在攻擊前檢查被攻擊對象，以避免造成某些社會后果。

5月9日，根據美國運輸部的聲明，針對勒索軟件攻擊，美國多州宣布緊急放寬道路運輸燃油的限制。

放寬限制意味著以下18個州的駕駛員在運輸汽油，柴油，噴氣燃料和其他精煉石油產品時可以運輸更多貨物或擁有更多時間。

緊急規定包含的18個州如下：

阿拉巴馬州，阿肯色州，哥倫比亞特區，特拉華州，佛羅里達州，喬治亞州，肯塔基州，路易斯安那州，馬里蘭州，密西西比州，新澤西州，紐約州，北卡羅來納州，賓夕法尼亞州，南卡羅來納州，田納西州，德克薩斯州和弗吉尼亞州。

此番決定是因為運營美國最大的汽油和柴油的管道系統的Colonial公司遭受網絡攻擊，攻擊導致該公司向美國東部沿海主要城市輸送油氣的管道系統下線。

據悉，Colonial雇傭了第三方網絡安全公司介入調查并聯系了執法機構，該公司表示正在努力恢復運營，盡量將對客戶的影響降到最低。

受影響的管道長約5500英里，為美國東部提供了45%的燃料供應，每天可將250萬桶石油從墨西哥灣經過美國東部運送至新澤西州，為從休斯頓到紐約等大城市的燃料分銷商提供汽油、柴油和燃料。

受攻擊影響，紐交所汽油期貨上漲1.32美分，收于每加侖2.1269美元。

目前尚不清楚該攻擊是否針對Colonial公司的工控系統，也不清楚攻擊是由哪個攻擊組織發起的。

《泰晤士報》表示，管道關閉不太可能立即對消費者造成影響，輸送的大部分燃料都不是直接銷售的。而且由于疫情影響，美國的能源消耗有所減少，但目前仍不清楚管道會被關閉多長時間。

由于影響惡劣，此次勒索攻擊已經已引起美國立法者的呼吁，要求加強對美國關鍵能源基礎設施的保護，以防止黑客攻擊。