美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明

事件简介

美国最大的燃油管道系统Colonial Pipeline于5月7日遭到攻击，被迫暂停所有管道作业，由于Colonial Pipeline负责美国东岸多达45%的燃料供应，因攻击事件而暂停所有的管道作业，美国运输部则在5月9日宣布进入紧急状态，允许以机动车辆于一般道路上运送燃油，而FBI也于5月10日证实，Colonial Pipeline是遭到勒索软件组织DarkSide的攻击。

5月11日CISA与FBI联合发表关于DarkSide勒索软件的网络安全咨询，本公司也将参考这份咨询文件，对于本次攻击事件提出防护相关建议。

相关新闻

CISA与FBI发布了有关最近针对关键基础设施（CI）公司的勒索软件即服务（RaaS）变种，也就是DarkSide的联合网络安全咨询。黑客集团使用DarkSide攻击存取受害者的网络，并予以加密及泄露数据，若受害者不支付赎金，就可能揭露数据，该组织最近将目标对准了多个CI领域的机关，包括制造、法律、保险、医疗保健及能源。预防是防范勒索软件的最有效方法，遵循最佳实践以防止勒索软件攻击是非常重要，因为勒索软件攻击可能对个人或组织造成毁灭性破坏，并且恢复原状可能是一个很艰难的过程。

新闻来源网址：

https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/joint-cisa-fbi-cybersecurity-advisory-darkside-ransomware

Colonial Pipeline事件概述

总部位于乔治亚州的Colonial Pipeline是美国最大的精炼油管道系统，每天运送多达1亿加仑的汽油、柴油、航空媒油与家用燃料油，占美国东岸燃油供应的45%，也负责美国7个机场的燃油供应。

一、5月7日遭到DarkSide勒索软件攻击，并且在得知被勒索软件攻击之后立即让特定系统脱机以控制其安全威胁，包括暂时关闭5,550英哩（mile）管管道作业以及部份的IT系统。该集团渗透了Colonial Pipeline的网络并将数据加密在某些计算机与服务器，要求支付赎金，并偷走了将近100 GB的资料，威胁若不支付，则要将其泄漏到暗网上。

另外，美国汽车协会（AAA）也表示，美国汽油价格本周上涨了每加仑6美分，至每加仑2.967美元，美国能源公司的股票在华尔街也上涨了1.5%。美国政府因此放宽了公路运输燃料的规定，以最大程度地减少供应中断，这使得18个州的驾驶员在运输精炼石油产品时可以额外工作或更加灵活地工作。

二、一般认为Darkside起源于东欧，并于2020年8月首次出现。他们将其勒索软件即服务（ransomware-as-a-service，RaaS）提供给分支机构，以获取一定比例的利润。Darkside是新型态勒索软件的一个很好的例子，它以更高级的商业模式运行，可识别高价值目标，并能更精确地以双重勒索（double extortion）这类方式将受威胁资产货币化。这类攻击通常也由几个小组合作进行，并进行利润分割，一旦系统遭到破坏，勒索软件的付款要求可能在20万美元到200万美元之间。

（一）技术细节
1. 初始存取

Darkside是透过网络钓鱼、远程桌面协议（RDP）、虚拟桌面基础结构（Virtual Desktop Infrastructure，VDI）或利用已知漏洞获得初始存取的策略，黑客还在整个攻击过程中使用通用的合法工具，以使其未被发现并掩盖其攻击。

在侦察及入侵阶段的整个过程中，可能基于不同状况，使用一些合法技术或工具，例如PowerShell、Metasploit、mimikatz、Bloodhound、Cobalt Strike等。

DarkSide组织黑客针对Colonial Pipeline获得了网络的初始访问权限之后，该公司的IT网络遭部署了DarkSide勒索软件并受到攻击，该公司声明他们主动断开了某些OT系统的连接，以确保系统的安全性，目前没有迹象显示会横向移动到OT系统。

2. 横向移动

横向移动通常是为了识别组织内的所有重要数据，可能是获得域控制器（DC）或Active Directory访问权限，以窃取凭证，并提升特权以获取其他有价值的资产以进行数据渗透，并继续在系统中进行横向移动，最终使用DC网络共享将勒索软件部署到连接的计算机上，其中可能使用PSExec、SSH或RDP作为其工具。

3. 资料泄漏

双重勒索事件的一种常见做法，攻击者会在加密数据之前，先将数据窃取出来，以此恐吓受害对象，若不支付赎金，他们就对外公开手上持有的受害者资料。此外，也可能透过一些居中协调的掮客（broker），由这些人与黑客谈判，以减少赎金。常用的工具可能包括7-zip、Mega Sync、Rclone及Putty等。

Darkside攻击者也利用洋葱路由器（The Onion Router，Tor）联机到中继站，并利用几个基于Tor的泄漏网站来托管被盗取的资料。

4. 执行

除了用于操作恶意软件本身的PowerShell之外，其他如PsExec、SystemBC及Cobalt Strike，也有可能使用Certutil及Bitsadmin用于下载勒索软件，Windows或Linux皆可能是受攻击目标，并且使用了两种不同加密方法，在Windows系统上使用RSA-1024的Salsa20，Linux上使用RSA-4096的ChaCha8串流加密。

美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明相关推荐

网站攻击软件_佳能遭严重勒索软件攻击，10TB的数据被窃取，大量服务宕机
佳能遭严重勒索软件攻击,10TB的数据被窃取,大量服务宕机 Garmin 遭勒索攻击的风波未平,近日,佳能又遭受了勒索软件攻击,攻击除了让佳能的一些网站宕机外,据说还导致佳能服务器中高达 10TB 的 ...
爱尔兰卫生部遭Conti勒索软件攻击说明与建议
事件简介爱尔兰健康服务管理署(HSE)于5月14日遭到Conti勒索软件攻击后,迫使其网络中断,也造成至少一家医院关闭所有门诊.5月17日Conti又针对HSE主管机关爱尔兰卫生部(DoH)发动袭击 ...
美国全国步枪协会遭 Grief 勒索软件攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士今天,Grief 勒索软件操纵者称美国全国步枪协会 (NRA) 是其受害者. NRA 的名称已被列入暗网门户网站上,表明它被 Grief 勒索组 ...
法国巴黎一医院遭勒索软件攻击：急诊被迫停业赎金1000万美元
医院业务软件.存储系统.患者信息系统均无法访问,急诊和手术被迫停业. 法国巴黎一家中大型医院CHSF上周日遭遇勒索软件攻击,医院业务软件.存储系统.患者信息系统均无法访问,急诊和手术被迫停业: 法媒世 ...
“因遭勒索软件攻击，我被认定工作失职开除，并被老东家索赔 21.5 万元”
备份无法恢复算工作失职吗? 近日,中国裁判文书网公布了一起劳动合同纠纷的民事案件.这则由江苏省太仓市人民法院发出的民事判决书显示,曾在昭衍(苏州)新药研究中心有限公司(以下简称"昭衍公司&q ...
在遭到勒索软件攻击时_勒索软件海啸在这里不要成为受害者
在遭到勒索软件攻击时 You can't say you haven't been warned. The alarms about increasing ransomware attacks, es ...
petya病毒分析_首先是WannaCry，现在是Petya –防范大规模勒索软件攻击
petya病毒分析 Just a month after the sweeping WannaCry attacks, we now see a new ransomware threat, a Pe ...
《勒索软件防护发展报告（2022年）》正式发布，助力企业高效应对勒索软件攻击
随着云计算.大数据.人工智能等新技术的快速普及和应用,全球网络攻击层出不穷,勒索攻击呈现出持续高发态势,并已成为网络安全的最大威胁之一.因此建立全流程勒索软件防护体系,成为了企业防御勒索软件攻击的首要 ...
勒索软件攻击为何越来越多？
勒索软件(ransomware)是一种流行的木马,通过骚扰.恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财. 被勒索的用户数据资产包括文档.邮件.数据 ...

美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明

美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明相关推荐

最新文章

热门文章