美国面临断油危机，勒索软件元凶浮出水面

由于美国最大的输油管道商Colonial Pipeline上周末遭遇勒索软件攻击暂停运营，美国运输部联邦机动车安全局(FMCSA)昨日发布《地区紧急状态声明》，临时解除禁止燃料公路运输的法律，并允许油罐车驾驶员工作更长的时间。

该豁免适用于将汽油、柴油、喷气发动机燃料和其他精炼石油产品运输至阿拉巴马州、阿肯色州、哥伦比亚特区、特拉华州、佛罗里达州、乔治亚州、肯塔基州、路易斯安那州、马里兰州、密西西比州、新泽西州、纽约州、北卡罗来纳州、宾夕法尼亚州、南卡罗来纳州、田纳西州、德克萨斯州和弗吉尼亚州等十八个州的车辆。

1. 紧急状态声明是“杯水车薪”

Colonial Pipeline的输油管道每天运送250万桶石油，占东海岸柴油、汽油和喷气发动机燃料供应量的45%。

除油罐车外，美国运输部发布的临时赦免令还允许通过油轮将石油产品运到纽约，但这远远不足以弥补输油管道中断损失的运力，大量燃料现在被困在德克萨斯州的炼油厂。

独立石油市场分析师高拉夫·夏尔马(Gaurav Sharma)指出：“除非在星期二之前解决问题，否则他们将陷入大麻烦。首先受到打击的地区将是亚特兰大和田纳西州，然后多米诺骨牌效应会迅速传递到纽约。”

本周一，美国的燃油价格尚未受到勒索软件攻击事件影响，但专家指出，如果输油管道中断时间延长，势必会影响到油价和期货市场。

2. 真凶浮出水面

波士顿安全公司Cybereason的首席执行官Lior Div周一向路透社透露，攻击Colonial Pipeline的勒索软件团伙是DarkSide：“它们非常新，但组织性很强。”Div透露，DarkSide的数据泄露网站上已经有80多个未支付赎金的受害企业的数据被公开泄漏。

据悉，Darkside经营着一个勒索软件即服务业务，为其他网络犯罪“会员”提供勒索软件租用业务，而这些会员在成功实施勒索软件攻击后向DarkSide支付一定比例的收入。

安全牛查阅DarkTracer的最新勒索软件统计，发现2020年DarkSide的攻击数量位列TOP10行列(第九名，下图)。

自2020年年中以来，Darside一直保持活跃，尽管该团伙1月份曾宣布“金盆洗手”并发布了解密密钥，但安全公司Cyber Reason指出，该组织的“隐退”只是掩人耳目的方法，最近又发布了DarkSide 2.0，其背后是一群非常资深的勒索软件攻击专家。

DarkSide还有一个非常高效的公关部门，经常邀请记者检查其泄漏的数据，并声称曾匿名向慈善机构捐款。今年3月份，DarkSide发布了功能和“赢利”能力更强的新版勒索软件，不但在线发布新闻稿还邀请媒体对其进行采访。

DarkSide的代码看上去就是一个标准的勒索软件，与许多勒索软件类似，避免使用俄语、哈萨克语和乌克兰语，让自己看上去与前苏联加盟共和国没有关系。

但是Digital Shadows的研究表明，DarkSide网络犯罪团伙可能位于讲俄语的国家，因为它避免了攻击前苏联各共和国，包括俄罗斯、乌克兰、白俄罗斯、格鲁吉亚、亚美尼亚、摩尔多瓦、阿塞拜疆、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦和乌兹别克斯坦。

Digital Shadows联合创始人James Chappell认为，DarkSide很可能是从远程访问账户作为攻击的切入点，并且很可能已经购买了TeamViewer和微软RDP等远程桌面软件的泄漏账户。

参考资料：

https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文