2021年5月7日，美国 Colonial Pipeline 公司遭到网络进犯，导致其事务遭到严峻影响。得悉该事情后，微步情报局快速呼应，并第一时间进行了研判剖析 《 “美国进入紧迫状况”？Colonial Pipeline 遭受勒索软件进犯事情剖析》。随后，咱们坚持对该事情的跟进剖析，

　　现在，关于该事情直接相关的进犯细节（包含侵略途径、进犯办法、进犯东西等）尚无法得知，但依据相关安全公司以及美国 FBI 的官方消息，现已承认该事情的始作俑者是 DarkSide 勒索安排及其 RaaS 协作伙伴。

　　依据微步在线的黑客画像体系录入的数据，DarkSide 团伙至少自2020年8月开端呈现，以 RaaS 模型运营，到现在有近百家企业被该团伙进犯，近 73.8% 的被进犯企业散布在美国，其他别离坐落德国、法国、加拿大、摩洛哥等境外国家，国内鲜有相关受害者。因而，现在国内相关职业和企业并不是该团伙的首要进犯方针。

　　勒索软件这种新式要挟自问世以来，不同宗族的勒索软件一直快速添加阶段，且呈现定向化、RaaS 化等特色。与此一起，针对动力、医疗、金融等要害基础设施职业的进犯事例显着添加，形成的经济、社会影响也益发增大。咱们主张相关职业、监管及企业安全部分针对勒索软件进犯的树立专项防护体系、应急呼应和事务快速康复机制，加强关于勒索软件的检测、呼应及情报同享才能。

　　咱们以为，企业针对勒索软件的防护应该采纳不同于其他类型要挟的方案。关于勒索软件的防护应该要点放在初始侵略阶段，减少被侵略的进犯面，一起应该加强流量层面的缝隙、爆炸等进犯行为的辨认和进犯成功的自动断定，并快速呼应处置。

　　2021年5月8日，美国燃油管道公司 Colonial Pipeline 官网进行布告，声称于7日得知被黑客进犯，一起联络第三方网络安全专家、法律部分和其他联邦安排发动应急呼应，承认触及勒索事情。发动应急呼应后中止一切管道工作，而且封闭某些体系以便防止持续遭受进犯。

　　2021年5月9日，美国联邦调查局（FBI）新闻办公室声明，收到于7日收到 Colonial Pipeline 公司网络中止告知。

　　2021年5月9日，美国网络安全和基础设施安全局（CISA）标明针对 Colonial Pipeline 公司遭受网络安全进犯事情，正在和 Colonial Pipeline 公司以及其他政府部分进行触摸。

　　2021年5月9日，美国交通运送部分（USDOT）部属子安排，联邦机动车辆安全管理局（FMCSA）发布区域紧迫声明，由该部分的东部、南部和西部服务中心相关管理员一起发布，宣告因为 Colonial Pipeline 公司遭受网络进犯导致燃油运送受阻，紧迫发动机动车辆进行运送燃油，以处理受影响的美国18个州燃油需求问题。

　　2021年5月9日，Colonial Pipeline 官网更新布告，声明现在该公司运营人员正在拟定体系重启方案，虽然主管道坚持离线状况，但终端和交给点之间的较小管道现已能够运用。

　　2021年5月10日，Colonial Pipeline 官网更新布告，声明将持续康复管道运送，而且方针在本周末前康复大部分运营服务，现在现已康复4号管道处于手动操控状况。一起正在与邮寄公司协作，将产品移至码头进行本地交给。

　　2021年5月10日，美国联邦调查局（FBI）新闻办公室更新声明，承认 DarkSide 勒索软件是形成 Colonial Pipeline 公司网络受损的原因。

　　2021年5月10日，DarkSide 团伙发布证明称，针对 Colonial Pipeline 的进犯是其 RaaS 的协作伙伴建议，且其进犯意图只是是为了挣钱，没有任何政治动机。

　　Colonial Pipeline 公司成立于1961年，管道建设于1962年，总部坐落佐治亚州阿尔法利塔，具有美国现在最大的成品油管道体系，管道长达5500英里（8850公里），管道始于德克萨斯州休斯敦，墨西哥湾沿岸，终止于纽约港和新泽西州，贯穿18个州市。均匀每天向美国南部和东部地区运送多达1亿加仑的汽油、家用取暖油、航空燃料和其他精粹石油产品，占到东海岸耗费一切燃料的45％。管道还连接到几个首要机场，包含亚特兰大、纳什维尔、夏洛特、格林斯伯勒、罗利·达勒姆、杜勒斯、巴尔的摩-华盛顿和纽约大都会机场。通过维基百科介绍大致了解到，Colonial Pipeline 公司作为美国要害基础设施也是美国燃油管道的大动脉，因为勒索软件进犯导致体系宕机，无法供给管道运送服务，对美国动力职业影响巨大，或许影响依托燃油资源的很多职业正常工作。一起此次网络进犯事情发布后导致汽油期货在本周一开盘后一度暴升，石油价格信息服务（OPIS）动力剖析全球主管克罗萨对此标明，油价飙升的起伏将”取决于这条线路中止的天数”。

　　事情产生后，Colonial Pipeline 公司和美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）、联邦机动车辆安全管理局（FMCSA）等联邦政府部分敏捷做出反响。Colonial Pipeline 公司自动封闭了要害体系，活泼联络政府部分和第三方安全公司进行协作处理此次事情。联邦机动车辆安全管理局（FMCSA）也发布了一份区域紧迫声明。协助 Colonial Pipeline 公司中止管道运送后进行燃油运送。

　　通过参加此次应急呼应的第三方安全公司人员和美国 FBI 的声明能够了解到 ，DarkSide 勒索软件才是形成中止管道运送的背面真凶。那么 DarkSide 是一款什么样的勒索软件，有什么进犯特色，运作机制是怎样的，背面的中心团队又是谁？

　　DarkSide勒索软件于2020年8月呈现，并以勒索软件即服务（RaaS）的商业形式运作，别离由勒索软件的开发运营人员和其招募的分发者一起组成，由分发者进行进犯，中心开发运营商则担任勒索软件的开发与受害者商洽收取勒索赎金，抽取 20%-30% 的赎金，其他的收益则归分发者一切。

　　该勒索软件中心团队声称医疗、教育、非营利安排和政府等范畴不在其进犯方针规模内，除了加密受害者体系文件外还会盗取受害者体系数据，通过获取到的受害者信息进行评价，然后再承认需求付出的解密金额，关于没有被盗数据的受害者，赎金要求低至20万美元，而关于被盗数据的受害者，赎金要求高达200万美元。其团队声称并非”勒索新手”，在其介绍中写到现现已过其它勒索软件协作获利数百万美元，创立 DarkSide 是因为没有找到相对完美的产品。

　　值得回味的是，该勒索软件中心团队曾声明只会针对大型盈利性公司，并将他们付出的部分赎金用于慈善事业。随后在上一年10月13日，DarkSide 团队通过其网站粘贴出两张 0.88BTC 的收据，受捐献方别离为世界儿童基金会和水项目两个非盈利安排。可是因为两笔捐献均为勒索赎金所得，而无法运用。

　　DarkSide 勒索软件选用 RaaS（勒索即服务）形式工作，现在存在 Windows 和 Linux 双渠道版别，可通过可视面板进行定制，定制内容包含加密目录、加密形式、耐久化办法、提权操作、网络交互、密币付出品种等等。当时发现针对特定方针会创立定制的可执行软件，运用 SALSA20 密钥来加密文件，通过可执行文件中的 RSA-1024 密钥对该密钥再次加密。运用八个伪随机界说的小写十六进制字符作为加密文件后缀。DarkSide 勒索软件会在受害者机器上留下勒索记载，其间包含了被盗数据量、数据类型、以及数据走漏站点链接。在规则期限内，假如没有收到付出的赎金将会盗取的信息揭露。

　　该勒索软件首要针对非俄语体系，确保不会在独立国家联合体（CIS）的机器中工作，而且曾经在俄语论坛 XSS 上发布相关信息，猜想该运营商为讲俄语的黑客安排，虽然现在没有依据标明俄罗斯能够从勒索软件中获取利益，但俄罗斯黑客现已浸透到美国一些要害部分。

　　通过搜集到的信息，该勒索软件自2020年8月起，进犯规模贯穿10个国家，超越90家企业被进犯，触及职业包含 IT、测绘、服务、化工、交通、金融、动力等多个职业，其间受害者占比最多的是美国。而 DarkSide 的分发者好像对服务业和 IT 职业比较重视，所以触及到的企业受灾最为严峻，一起依据走漏的数据发现，DarkSide 现已不是第一次对石油和天然气动力职业下手。

　　在产生此次 Colonial Pipeline 公司被进犯事情后，DarkSide 运营商在官方网站上中声明，他们的方针是挣钱而不是给社会制作问题，不参加地缘政治，和任何政府都无关，而且从今天起，将会对分发者进犯方针进行审阅，确保防止再次带来影响社会的结果。

　　依据火眼公司当时发表的调查陈述，依据 Darkside 勒索事情 TTPS 指纹可相关到 UNC2628、UNC2659、UNC2465 三个不知道安排。当然，该相关存在必定程度的概率性，只能阐明这些安排或许与 Darkside RaaS 运营安排存在协作关系。在揭露陈述中，火眼并未泄漏关于 Colonial Pipeline 公司实在的相关依据。除此之外，这三个安排当时并未揭露发表。概述火眼陈述中关于这三个安排的描绘以及扼要的 Darkside 布置流程如下。

　　该安排至少自2021年2月开端活泼，进犯节奏快，一般两到三天完结勒索软件布置。依据标明 UNC2628 已与部分 RaaS 运营安排（包含 SODINOKIBI、NETWALKER 勒索软件）协作。

　　当时发现进犯者对方针 VPN 体系进行暗码喷洒类型的登录测验，成功登录方针主机，然后凭借域内主机进行横移、域控操作。终究运用 PsExec 将 Darkside 布置至域内机器。

　　该安排至少自2021年1月开端活泼，一般进犯周期操控在10天之内，长于运用 SonicWall SMA100 SSL VPN 产品缝隙进行登录权限修正然后长途进入方针体系。

　　进犯者进入方针体系后，运用 TeamViewer 东西树立耐久化，运用 rclone 东西盗取云端海量数据。然后布置 power_encryptor.exe 对文件进行加密并通过 SMB 协议创立赎金记载。

　　进犯者通过鱼叉邮件投递 SMOKEDHAM 后门，然后通过开源东西进行横移浸透，接着运用 PsExec和cron 布置 Darkside 勒索软件，最终进犯者将会致电受害人的客户支撑热线，告知他们数据被盗，并指示他们遵从赎金记载中的链接。

　　Colonial Pipeline 公司作为美国最大的燃油管道商，产生严峻网络安全事情后，进行了快速的应急呼应处理，通过相应办法防止二次危害，作为美国重要要害基础设施，美国相相关邦政府也表达高度重视，活泼参加整个处理呼应中。可是依然能够看出 Colonial Pipeline 公司的 IT 和 OT 并没有将网络肯定阻隔，所以现在暂未彻底康复事务。此次事情也是继 SolarWinds 供应链进犯以来对美国形成巨大影响又一次网络进犯事情，必然会引起美国政府关于加强网络安全才能重视。

　　依据安全厂商 CheckPoint 搜集的数据标明，在曩昔的9个月中，美国每月勒索进犯次数简直添加到了两倍，达到了300次，而最近几周，美国每88个公共事业安排中就有一个遭遭到勒索软件进犯，较2021年头添加了34%，而美国网络安全和基础设施安全局（CISA）的官方网站专门列出一份勒索软件攻略，页面上具体讲解了关于针对勒索软件的介绍和相关缓解办法。

　　纵观勒索病毒开展前史，前期勒索软件运营形式单一且赎金较低，而且大多是针对普通用户。通过近几年的开展，勒索软件现已从 To C 转向 To B，从广撒网形式转变为定向形式，进犯办法也把戏不断，除了垃圾邮件、弱口令爆炸、网页挂马、缝隙组合运用等常见的办法还呈现了 BitPaymer 运用 Apple 0day 缝隙进犯的事例。而且一些 APT 安排现已运用勒索软件作为进犯方法之一，这些 APT 安排表面上是运用勒索软件进行进犯，实际上却是在进行掩盖获取情报数据的意图，又或者是进行关于地缘政治意图的破落数据报复行为。所以勒索软件的进犯办法会愈加具有 APT 才能的水准，定向性也更强。

　　在近几年，与勒索软件相关的安全大事情举目皆是，其间不乏一些要害基础设施被进犯。要害基础设施包含动力、金融、交通、教育、科研、水利、工业制作、医疗卫生、公用事业等多个范畴，是一个归纳实体持续顺畅运作至关重要的根本财物，关乎着整个国家的开展，一旦被进犯导致无法工作，形成的丢失是无法丈量的，一起很有或许涉及其他职业。所以针对要害基础设施职业的网络安全防护也分外重要。

　　勒索软件进犯的日益添加与进犯办法的愈加精进，都在检测着企业的防护才能。特别在面临具有定向性的勒索进犯时，不能朴实依托传统安全软件进行防护和备份文件康复，要点在于防护并非过后处置。需求加强纵深防护和树立快速应急呼应机制与团队，针对不同事务线、网络、设备拟定不同防护战略，加强鸿沟防护管理才能，确保安全呼应流畅性。

竞博job 上一篇：永州市-邵阳县输气管道工程开工建造 估计下一年年末竣工 下一篇：智能管道：未来的根底设施云