美国收回了Colonial Pipeline所支付的440万美元赎金中的大部分

来源:知道创宇2021.06.08

美国收回了大部分赎金

在司法部的新闻发布会上,美国司法部于当地时间6月7日宣布其没收了 DarkSide 勒索团伙所使用的一个加密货币钱包,其中包含了来自 Colonial Pipeline 的赎金。

FBI 特工表示,执法部门获得了一个属于 DarkSide 比特币钱包的私钥的控制权。使用此私钥,FBI 收回了 Colonial Pipeline 发送的大约 75 个比特币付款中的 63.7 个比特币。由于付款后比特币价格大幅下跌,按现在的价格计算,回收的比特币价值约为 226 万美元。

目前尚不清楚 FBI 获得 DarkSide 钱包私钥访问权限的具体方法,但在 5 月 14 日时,勒索软件团伙就曾声称无法访问他们的一台支付服务器。

 

前情回顾

彭博社报道,美国最大燃油管道公司 Colonial Pipeline 在5月7日就向Darkside支付了近 500 万美元赎金。这一消息与早些时候的报道称该公司无意支付赎金相矛盾。

人们认为Colonial 是在恢复管道运营的巨大压力下决定支付赎金。黑客在收到赎金之后提供了解密工具,但整个解密过程非常缓慢,Colonial 因此继续使用备份恢复系统。Colonial 在美国时间5月12日宣布恢复运营,但同时表示整个燃油供应链恢复正常还需要数天时间。

500 万美元赎金对于 Colonial 这样大的公司而言是非常低的,勒索软件团伙可能也意识到他们的目标相当棘手,可能会引发政府的强烈反应。美国政府通常反对支付赎金,因为这会激励攻击者去寻找下一个勒索目标。

 

FBI和CISA发布联合警报

在Colonial Pipeline遭受毁灭性的勒索软件攻击后,联邦调查局和网络安全和基础设施安全局(CISA)发布了一份联合警报。该警报于当地时间5月11日发布,包含了关于DarkSide的一些背景信息。

警报称,"网络犯罪团伙利用DarkSide进入受害者的网络,对数据进行加密和泄露,然后这些团伙威胁说,如果受害者不支付赎金,就会暴露数据。DarkSide团伙最近一直在对不同组织下手,包括制造业、法律、保险、医疗保健和能源部门。"

DarkSide的勒索软件针对RaaS(也称为勒索软件联盟计划)客户。这种网络网络犯罪的方法现在相当流行,因为只需要一个核心团队来开发恶意软件,RaaS可以通过订阅的方式向犯罪分子提供勒索软件。另外,当支付赎金时,创作者会收到一部分利润。作为交换,开发人员不断改进他们的恶意软件产品。

DarkSide甚至还为自己打造一个罗宾汉一般的人设,其攻击目标不针对医疗、护理院或治疗提供者,甚至还为其捐款。

 

Exchange漏洞成为他们被勒索团伙“光顾”的原因

援引《纽约时报》记者 Nicole Perlroth 报道,成品油管道公司 Colonial Pipeline 的初期调查结果标明,该公司 IT 基础设施内“最可能的罪魁祸首”就是尚未修复的微软 Exchange 服务

Nicole Perlroth 在推文中指出,关于 Colonial Pipeline 的取证发现,他们仍在使用存在漏洞的微软 Exchange 版本。

 

Colonial遭勒索,十八个州紧急放宽限制

5月10日,DarkSide勒索软件团伙发表了一份新闻声明,称他们的组织是 "非政治性的",与任何政府没有关系。同时,他们表示不要将他们与任何一个政府联系起来,他们的目标只是赚钱而已,不是为了某些社会问题。此外,该团伙还表示从5月10日起,他们将在攻击前检查被攻击对象,以避免造成某些社会后果。

press-release.jpg

5月9日,根据美国运输部的声明,针对勒索软件攻击,美国多州宣布紧急放宽道路运输燃油的限制。

1620632588_6098e40c678adb938facd.png!small?1620632588580

放宽限制意味着以下18个州的驾驶员在运输汽油,柴油,喷气燃料和其他精炼石油产品时可以运输更多货物或拥有更多时间。

紧急规定包含的18个州如下:

阿拉巴马州,阿肯色州,哥伦比亚特区,特拉华州,佛罗里达州,乔治亚州,肯塔基州,路易斯安那州,马里兰州,密西西比州,新泽西州,纽约州,北卡罗来纳州,宾夕法尼亚州,南卡罗来纳州,田纳西州,德克萨斯州和弗吉尼亚州。

此番决定是因为运营美国最大的汽油和柴油的管道系统的Colonial公司遭受网络攻击,攻击导致该公司向美国东部沿海主要城市输送油气的管道系统下线据悉,Colonial雇佣了第三方网络安全公司介入调查并联系了执法机构,该公司表示正在努力恢复运营,尽量将对客户的影响降到最低。

image.png-494kB

受影响的管道长约5500英里,为美国东部提供了45%的燃料供应,每天可将250万桶石油从墨西哥湾经过美国东部运送至新泽西州,为从休斯顿到纽约等大城市的燃料分销商提供汽油、柴油和燃料。受攻击影响,纽交所汽油期货上涨1.32美分,收于每加仑2.1269美元。

image.png-802.8kB

目前尚不清楚该攻击是否针对Colonial公司的工控系统,也不清楚攻击是由哪个攻击组织发起的

《泰晤士报》表示,管道关闭不太可能立即对消费者造成影响,输送的大部分燃料都不是直接销售的。而且由于疫情影响,美国的能源消耗有所减少,但目前仍不清楚管道会被关闭多长时间。由于影响恶劣,此次勒索攻击已经已引起美国立法者的呼吁,要求加强对美国关键能源基础设施的保护,以防止黑客攻击。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态