什么操作?美国进入国家紧急状态,黑客导演了怎样的“勒索攻击”

2022年01月03日/ 浏览 218

当地时间5月9日,美国宣布进入国家紧急状态,原因是美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭了美国东部沿海各州供油的关键燃油网络。

 

新京报贝壳财经记者发现,该公司发布公开声明:“作为应对,我们主动切断某些系统的网络连接以遏制威胁,这使得所有的管道运输临时暂停,也影响了我们的一些IT系统。”

 

据了解,Colonial Pipeline是美国最大的成品油管道运营商,对于此次事件,白宫发言人称,拜登总统在上周六早上获悉此事,联邦政府正在积极评估影响,避免供应中断,帮助这一公司恢复运营。

 

510日,高盛发文称,该公司并没有受到实质性损害,因为东海岸地区PADD1炼厂库存充足,且该地区季节性汽油进口量高于同期水平,只有长时间的管道关闭(可能超过5天),当地供应才会严重吃紧。


不过,文章称此次软件攻击显示出,全球能源基础设施在日益频繁的攻击面前的脆弱性。尽管仍然低迷的需求和高于平均水平的库存,可能会在短期内限制此类事件对消费者造成影响,一旦今年晚些时候全球能源库存跌破平均水平,攻击造成的破坏性可能会大得多。届时或导致价格大幅上涨

 

是谁攻击了美国最大的成品油管道运营商?

 

根据外媒报道,知情人士透露,该攻击由DarkSide勒索团伙发起,该组织于周四仅两个小时内,就从位于佐治亚州阿尔法利塔的Colonial公司网络中窃取了近100 GB数据。

 

该网络犯罪团伙会使用扫描工具来寻找目标网络中的漏洞(通常是已知漏洞),从而获取初始访问权限。当获取文件服务器的权限后,该组织会将目标的数据进行手动上传,随后加密目标公司的文件,并将部分信息上传至其暗网博客,声称若不交付赎金,就公布目标公司的敏感数据。奇安信反病毒专家告诉新京报贝壳财经记者。

 

据奇安信对DarkSide团伙的长期跟踪,该组织使用的勒索软件除了会进行常规的加密文件操作外,还会连接并发送受害者信息到攻击者的命令控制服务器(C2),这可能是攻击者记录受害者具体信息的一种方法,方便在日后作为入侵证据。

 

值得关注的是,DarkSide组织在20211月份一笔勒索病毒的交易中便获得45个比特币,约合人民币1700多万元。对此,奇安信反病毒专家判断,面对如此巨额收益,未来针对组织的定向勒索攻击会愈加猖狂,针对目标公司体量也会越来越大。

 

据了解,此次攻击属于常见的勒索攻击根据Group-IB研究人员报告,仅在过去一年,全球“勒索攻击”次数就增长150%以上。今年3月,电脑巨头宏碁遭到“勒索攻击”,黑客开出了迄今为止最高数额的赎金,约合人民币3.25亿元。

 

奇安信威胁情报中心建议,用户需要及时做好漏洞修复、采用高强度密码、定期备份重要资料、关闭不必要的网络端口和不必要的文件共享、访问权限控制、安装专业杀毒软件并及时更新等基础工作,就能防范绝大多数的勒索攻击。“面对愈加强大的定向勒索攻击者,我们对网络安全防御需要提升整体的防护水平,要以面对APT组织攻击的策略进行防御体系建设,才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索攻击。”

 

美国多州因网络攻击宣布进入紧急状态,再次说明网络安全不是加强某个环节就能解决的,需要提升整体的防护水平,建立完整的网络安全体系。奇安信集团董事长齐向东告诉记者。

 

新京报贝壳财经记者 罗亦丹 编辑 王进雨 校对 李铭

picture loss