Key Points:

*DarkSide的解密工具還原速度太慢，Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實，美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後，向駭客支付了贖金支付近500萬美元（約新台幣1.39億元）

*綜合外媒報導，Colonial Pipeline在發現攻擊後不久就付款了，仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導，Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四（5/13）報導，美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件，被迫關閉美東最大管線系統，導致東岸近一半的燃料供應中斷，並導致美國東南部的汽油短缺，威脅數百萬人的汽油供應，拜登政府一度為此發布緊急狀態。

外媒消息指，Colonial Pipeline以比特幣支付近500萬美元（台幣約1.39億元）的贖金給DarkSide，但解密工具解密太慢，以至於備份也用於恢復系統。5/13早些時候，美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者，由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊，因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作，拜登表示，幕後黑手在俄羅斯，但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出，事件反映美國須加強基礎建設安全性，並於周三(5/12)簽署行政命令，加強聯邦政府及私人機構的網路保安。

另外，德國化學品分銷龍頭布朗德（Brenntag）在5月初也遭DarkSide加密，偷走了150Gb數據，後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS）的運作方式，勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後，DarkSide核心團隊將獲得20-30％的贖金，其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html

操作勒索軟體 DarkSide 的駭客在暗網聲明中表示，該組織並不參與地緣政治，目的只是為了錢，後續將引入審核機制，以避免未來（使用DarkSide勒索軟體的）合作夥伴進行加密（勒索）時造成社會後果。

據多家國外媒體報導，普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實，Colonial Pipeline是遭到勒索軟體DarkSide的攻擊，並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cyber​​eason介紹，DarkSide是一個駭客組織，通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事，但該組織對於展現道德水平有一定追求，甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象，與之相對的是鼓勵攻擊英語國家的盈利公司。

　　Cyber​​eason透露，DarkSide採取的是“雙重勒索”攻擊，不僅鎖住被害者的數據勒索贖金，同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

　　雖然DarkSide在聲明中並沒有提及輸油網絡的事件，但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後，美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責，FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

　　值得一提的是，在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌，但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道，後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期，考慮到庫存情況，Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外，根據FireEye的追隨，下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊，在兩小時內被盜取近100GB數據，並植入惡意程式加密數據鎖住系統，需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路，影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指，相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查，並已通知聯邦政府及執法部門。

Colonial Pipeline官方聲明指，電腦系統遭網攻，需暫停所有燃油管道運作，以避免發生意外並控制威脅。公司隨後確認，事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司，設有長達5,500英里的管道，將燃料從墨西哥灣沿岸運送至美國東南部，更佔東岸燃料45%供應，服務5,000萬民眾，包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料，每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶，另可向紐約輸送90萬桶，其廣泛的管道網路服務於美國主要機場，包括亞特蘭大的機場，這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊，使電力供應受影響。有專家表示，勒索軟體攻擊工業的事件比想像中更頻繁發生，但相關消息甚少獲得報道。

白宮亦對此發表聲明，表示總統拜登（Joe Biden）已聽取事件簡報，聯邦政府正努力評估影響，盡力協助Colonial Pipeline恢復運作，避免燃料供應中斷。美國能源部發言人表示，正與Colonial Pipeline，州政府，能源業人士及多個政府部門合作，支援Colonial Pipeline維持服務，並監察能源供應是否有受影響。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793