操作勒索軟體 DarkSide 的駭客在暗網聲明中表示,該組織並不參與地緣政治,目的只是為了錢,後續將引入審核機制,以避免未來(使用DarkSide勒索軟體的)合作夥伴進行加密(勒索)時造成社會後果。
據多家國外媒體報導,普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實,Colonial Pipeline是遭到勒索軟體DarkSide的攻擊,並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。
資安公司Cybereason介紹,DarkSide是一個駭客組織,通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事,但該組織對於展現道德水平有一定追求,甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象,與之相對的是鼓勵攻擊英語國家的盈利公司。
Cybereason透露,DarkSide採取的是“雙重勒索”攻擊,不僅鎖住被害者的數據勒索贖金,同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。
雖然DarkSide在聲明中並沒有提及輸油網絡的事件,但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後,美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責,FBI將繼續與涉事公司和相關政府機構共同調查這一事件。
值得一提的是,在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌,但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道,後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期,考慮到庫存情況,Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。
另外,根據FireEye的追隨,下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)
有關DarkSide的情資,請參考如下: