Site icon 暗网下

Colonial管道公司向DarkSide黑客组织支付数百万赎金

在遭受网络攻击后,Colonial表示正在逐步重新开放其管道系统-德克萨斯州和纽约之间最大的燃料网络

根据彭博社的报道,因勒索软件攻击而被迫关闭运营的Colonial Pipeline公司向黑客组织支付了近500万美元,以重新启动其燃料管道。

Colonial Pipeline公司经营着美国最大的汽油管道,在攻击发生后几个小时就用加密货币支付了赎金,这一点后来也得到了多家媒体的证实。勒索组织DarkSide被认为是这次黑客攻击的罪魁祸首,并被推到了国际聚光灯下。

2021年5月10日,联邦调查局宣布对Colonial管道的攻击是由DarkSide勒索软件变体引起的,这迫使该公司停止了管道的运作,以便Colonial能够对该事件进行全面调查。虽然一般人可能是第一次听到DarkSide的名字,但威胁情报公司英特尔471自去年首次向地下网络犯罪宣布其产品以来,一直在追踪与该黑客组织有关的人。

虽然早在2020年8月就被发现在野外,但DarkSide的开发者于2020年11月在流行的俄语黑客论坛XSS上 “首次亮相 “该勒索软件,宣传他正在寻找合作伙伴,试图采用联盟 “即服务 “模式。不久之后,该勒索软件被发现是众多攻击的幕后黑手,包括针对欧洲和美国的制造商和律师事务所的几起事件。

英特尔471分析出的一些攻击手法、技术和程序来自DarkSide家族,攻击方式存在相似性,首先通过利用Citrix、远程桌面网络(RDWeb)或远程桌面协议(RDP)等脆弱软件获得初始网络访问权限,进行横向移动并窃取敏感数据,最终部署勒索软件;或者在地下论坛上购买访问凭证,进行暴力破解,利用垃圾邮件活动传播恶意软件或购买流行的僵尸网络,如Dridex、TrickBot和ZLoader,利用PowerShell后门在企业网络中进行侦察和持久化,武器库通常包括Cobalt Strike和Metasploit框架、Mimikatz和BloodHound。

DarkSide组织没有宣布对Colonial Pipeline的攻击负责,也没有公开泄露属于该公司的任何数据。然而,在2021年5月10日,该组织发布了一份公告,暗示其可能参与了这次攻击。运营商在公告中承诺,他们将在未来引入 “节制”,仔细检查每个DarkSide附属公司想要加密的公司,”以避免未来的社会后果”。运营商还声称,该组织严格受金钱驱使,不隶属于任何政府机构。

这不是DarkSide运营商第一次试图为他们的行动进行公关宣传。10月,该组织在其博客上宣布,它将把收集到的部分赎金捐给国际儿童组织(致力于消除贫困的非营利性儿童赞助组织)和水项目(旨在向撒哈拉以南非洲国家提供清洁水的非营利组织)。

“我们认为,他们所支付的一些钱将用于慈善事业是公平的,”博客网站上的文章写道。”无论你认为我们的工作有多糟糕,我们很乐意知道我们帮助改变了某些人的生活。”

目前还不知道DarkSide是否在最初的捐款之外继续资助慈善机构。

勒索软件的普及和日益成熟与能源控制系统的老化相结合,是一个复杂的问题。随着黑客们通过勒索软件的运作成功,更多的网络犯罪分子可能会想加入这一行动,因为网络安全行业蓬勃发展,与其他犯罪(即针对银行账户)相比,回报更高。负责关键基础设施的公司必须明白,不安全的系统对地下网络犯罪分子来说是一个诱惑的勒索目标,而积极主动的防御措施将大大有助于防止未来发生类似Colonial Pipeline的事件。

Exit mobile version