日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

Posted on by blogadmin

Key Points:

*這家日本公司週三表示,它在 6 月 1 日晚上發現到遭勒索軟體攻擊的可能性,並採取措施暫停所有受影響的系統。

*富士軟片控股公司 (FUJIFILM)正在調查從公司外部的非法第三方存取其伺服器的資安事件

*FUJIFILM表示正在努力確認未經授權存取的規模

根據東京路透社6 月3日報導——FUJIFILM在6 月2日宣布,由於1日午夜發現到勒索軟體攻擊的可能性,確認其使用的伺服器涉嫌被外部非法存取,正在調查資料是否外洩。FUJIFILM為了防止損害擴大,關閉網路並與外部通信斷開連接,目前無法通過電話或電子郵件回覆客戶,系統恢復時間也未定。

FUJIFILM這家跨國公司最出名的是照相機和底片製造商——最近也生產高科技醫療設備,包括用於快速處理 Covid-19 測試的設備。

根據新西蘭先驅報,FUJIFILM當地合夥人收到的電郵上說,“FUJIFILM將關閉網路和伺服器環境,因此將無法接收和履行訂單,我們意識到這對業務產生了重大影響,但目前尚不清楚這種情況會持續多久。”

雖然 FUJIFILM 沒有說明遭到哪個勒索軟體組織的攻擊,但資安公司Advanced Intel的CEO Vitali Kremez 告訴 BleepingComputer,他們追踪到FUJIFILM 在上個月(似乎5 月 15 日)感染了Qbot 惡意軟體,QBot是一種木馬,用於資料竊或潛入網路,並被REvil 勒索軟體的幕後駭客廣泛利用。

FUJIFILM全球員工超過 37,000 名,在2020 年的收入超過 200 億美元,無疑是網路犯罪分子有利可圖的目標。

美國稱對肉類供應巨頭 JBS 的勒索軟體攻擊可能來自俄羅斯,白宮就此事直接與俄羅斯政府聯繫

Posted on by blogadmin

白宮週二(6/1)表示,JBS總公司告訴美國政府,對在其北美和澳洲的肉類生產造成癱瘓的勒索軟體攻擊源於一個可能設在俄羅斯的犯罪組織。雖然 JBS在(5/31)已發布了一份官方聲明,稱其北美和澳洲的部分 IT系統在周日(5/30)受到網路攻擊的影響,但並未將其稱為勒索軟體攻擊,然而今天白宮首席副新聞秘書 Karine Jean-Pierre 告訴記者,證實JBS收到了可能來自俄羅斯的攻擊者的勒索信。

Photo Credit:CNN

“肉類生產商 JBS 週日通知我們,他們是勒索軟體攻擊的受害者。白宮已向 JBS 提供援助,我們的團隊和農業部與他們的領導層進行了多次交談。白宮正在就此事直接與俄羅斯政府接觸,並傳達出負責任的國家不窩藏勒索軟體罪犯的訊息。聯邦調查局正在調查這一事件,CISA 正在與聯邦調查局協調,為該公司提供技術支援,以從勒索軟體攻擊中恢復。”Jean-Pierre說

IT 系統在現代肉類加工廠中必不可少,電腦用於多個階段,包含計費,生產線和運輸等。據貿易組織Beef Central 稱,“超市和其他大型終端用戶,如麥當勞的漢堡肉餅供應,將成為受影響最直接的客戶,因為他們需要持續供應”。據彭博社報導,JBS 的五家最大的牛肉工廠都在美國,停產已經使那裡五分之一的肉類生產停止。同時澳洲和加拿大的工廠也受到影響,但該公司的南美業務並未中斷。

關於JBS:

*JBS 是全球最大的肉類供應商,在 15個國家/地區擁有 150 多家工廠

*它由牧場主 José Batista Sobrinho 於 1953 年在巴西成立,當時是一家屠宰企業

*公司目前在全球擁有超過 150,000 名員工

*其客戶包括大型超市和快餐店麥當勞等

*在美國,JBS加工該國近四分之一的牛肉和五分之一的豬肉

1名白宮官員透露,美國農業部、國土安全部和其他機構正在密切關注肉品和家禽類的供應。這名官員提到,這些部門也與農產品加工商合作,確保商品流通,且不會因網路攻擊事件而發生價格操縱的問題。另共和黨聯邦參議員John Thune表示:「這類網路攻擊突顯了國家食物供應鏈的安全性是相當脆弱,美國需要讓肉類加工產業分散,避免過度集中在少數公司。」

根據網路安全公司Recorded Future的高級安全架構師Allan Liska表示,自2020年5月以來,公開報導的食品公司勒索軟體攻擊事件已有40多起。

上個月,在針對 Colonial Pipeline遭勒索軟體攻擊後,美國東南部的燃料輸送中斷了六天,造成汽油短缺,為了恢復系統Colonial Pipeline向DarkSide勒索軟體的背後駭客支付了 440 萬美元的贖金。

*****6月3日更新*****

美國聯邦調查局(FBI)週三(6/2)證實,臭名昭著的REvil(也稱為 Sodinokibi)是全球最大肉類供應商JBS遭勒索軟體攻擊的幕後黑手。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/600ee787c56de0374e0aafc0

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

SolarWinds事件的幕後駭客Nobelium又來襲!微軟警示駭客利用NativeZone後門攻擊了24個國家/150 多個組織, CISA 與FBI發布聯合警告。

Posted on by blogadmin

Key Points:

*微軟警告說SolarWinds事件的幕後駭客已經又發起了最新一波的大型網路攻擊

*名為 Nobelium 的駭客組織上週針對全球 24 個國家/地區的 150 多個組織使用的3000 個電子郵件帳戶,發送假裝來自美國國際開發署的惡意電子郵件。

*Nobelium 植入名為NativeZone的後門

*大部分惡意電子郵件已被阻止並標記為垃圾郵件,但有些已進入目標公司的網路

感染鏈流程 Photo Credit: 微軟

5 月 27 日微軟在博客中示警,SolarWinds事件的幕後駭客已經對政府機構、智庫組織、和非政府組織 (NGO)發起了新一輪的網路釣魚攻擊。駭客組織 Nobelium(又名APT 29,,Dark Halo,UNC2452,Cozy Bear等)將 150多個不同組織,大約 3,000 個的電子郵件帳戶作為目標。“雖然美國組織受到的攻擊比例最大,但目標受害者至少跨越 24 個國家。至少有四分之一的目標組織參與了國際發展、人道主義和人權工作,”微軟指出。它還進一步補充說,這些網路攻擊似乎是為情報收集而進行的。  據稱,一系列入侵中的最新一波始於 2021 年 1 月 28 日,並於5月25日達到頂峰。

微軟在解釋網路攻擊是如何進行的時候說,Nobelium 是通過存取美國國際開發署(United States Agency for International Development, USAID)的 Constant Contact 帳戶來發起攻擊的。Constant Contact 是一種用於發送行銷電子郵件的平臺,從這裡攻擊者能分發這些看似真實但包含惡意連結的網路釣魚電子郵件,點擊該連結後,連結會傳送一個惡意的ISO檔案( ICA-declass.iso),來分發名為NativeZone的後門,該後門含自定義Cobalt Strike Beacon ( Documents.dll),使駭客具有在受害者系統上部署長駐能力,並能進行橫向移動,洩露數據以及安裝其他惡意程式的功能。

微軟說​​這場網路攻擊引人注目的原因有以下三個:

1.NOBELIUM繼續在重要的組織中尋求入侵方法,這將為大規模間諜活動打開大門,就像SolarWinds事件一樣。

2.這次,駭客似乎以許多人道主義和人權組織為目標,這些組織以前很少成為目標。

3. 無論國家領導人之間的小規模衝突和出於確切原因實施制裁,APT駭客的攻擊都沒有顯示出任何放緩的跡象。

在微軟示警後,美國國土安全部網路安全暨基礎安全局(CISA) 與聯邦調查局(FBI)聯合發布了代號為AA21-148A的警告,同時公佈有關入侵指標( IOCs) 和MITRE ATT&CK手法。

有關情資:

https://otx.alienvault.com/pulse/60afece345be6dfd2a66ea3c

APT駭客組織利用未修補的Fortinet VPN漏洞入侵了美國地方政府的網路,FBI再次發出有關Fortinet漏洞的警告

Posted on by Benson Chung

5月27日美國聯邦調查局(FBI)繼續警告進階持續性威脅(APT)的駭客組織積極地鎖定Fortinet VPN漏洞發起攻擊。FBI最新版本的警告,在2021年5月檢測到APT駭客入侵了美國某當地政府的網路,駭客組織利用了一個Fortigate設備來存取託管在美國市政府網域的網路伺服器, FBI又指出,發起攻擊的APT駭客通過建立了名為 elie 和 WADGUtilityAccount的後門帳戶對網路進行了惡意攻擊包含收集和竊取數據,後門帳戶用於從受感染的Fortinet VPN設備進一步轉到受害人的內部網路。當駭客獲得受害者內部網路的存取權限,他們會建立更多的後門帳戶,以便之後在其他系統如網域控制器,伺服器,工作站和AD獲得存取權限。

此次攻擊的駭客正是開採FBI和CISA在4月曾示警的Fortinet軟體漏洞來發起攻擊,使用了以下三個已知漏洞:

CVE-2018-1337­(允許駭客解讀系統檔案,進而發現儲存的明文密碼,再登入系統)

CVE-2020-12812 (讓駭客在子網域下設立假LDAP伺服器來攔截重要資訊)

CVE-2019-5591 (讓駭客繞過多因素驗證和主系統建立SSL VPN連線)

FBI再次敦促組織修補他們的Fortinet設備,希望通過這次受害實體的事件,組織能比以往更加認真地看待他們發出的警告。

日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

Posted on by blogadmin

5月24日,據日本政府進行調查的內閣網路安全中心(National center of Incident readiness and Strategy for Cybersecurity,NISC)稱,富士通的ProjectWEB平台發現了入侵事件,NISC向政府和重要基礎建設機構發出警告,富士通在NISC調查人員介入後,於5月25日關閉了ProjectWEB平台,以調查漏洞的範圍和原因。

日本富士通的ProjectWEB,是一個軟體即服務(SaaS)平台,可透過ProjectWEB共享專案相關資料,Photo Credit: 日本富士通

迄今為止,已被公佈受影響的機構包括國土交通省,外交部,內閣網路安全中心和成田機場等。竊取的數據包括政府僱員存儲在ProjectWEB上的檔案,ProjectWEB是富士通在2000年中期推出的基於雲的企業協作和檔案共享平台,如今已被日本政府機構廣泛使用。

富士通ProjectWEB事件相關時間:

2021年5月6日   富士通發現非法第三方存取Project WEB的踪跡。

2021年5月14日 富士通報告非法第三方存取交通部系統,造成數據外洩。

2021年5月17日 富士通報告由於非法第三方存取成田國際機場系統而導致數據外洩。

2021年5月20日 成田國際機場宣布航班資料管理系統的資料外洩。

2021年5月24日 NISC宣布也是受害單位,並向政府和重要的基礎設施機構發出警告。

2021年5月25日 富士通暫停Project WEB系統的運作。

2021年5月25日 富士通宣布非法第三方存取ProjectWEB。

2021年5月26日富士通報告非法第三方存取外交部系統,造成數據外洩。

使用ProjectWEB的成田機場20日表示,對飛機的飛航管理相關資料遭竊;國土交通省昨天公布,至少有7萬6000名轄下公務員與業務相關人士的電子郵件帳號、電子郵件系統與網路設定等資訊外流。另外,外交部也說,有提供給富士通的資料外流。

目前尚不清楚非法第三方(攻擊者)的身份以及是否是由於利用漏洞或針對性的供應鏈攻擊而發生入侵事件,另日本富士通表示,會認真面對此事,與相關單位商討後續處理方式,全力支援受害的客戶。

Sources:

https://www.documentcloud.org/documents/20791612-japanese-cabinet-cyber-security-center-warning-about-projectweb-leaks-part-1

https://www.documentcloud.org/documents/20791611-japanese-cabinet-cyber-security-center-warning-about-projectweb-leaks-part-2

https://www3.nhk.or.jp/nhkworld/en/news/20210526_28/

伊朗國家級駭客組織以惡意資料抹除程式(Wiper)偽裝勒索軟體瞄準以色列

Posted on by blogadmin

Key Points:

-伊朗APT駭客組織Agrius以偽裝成勒索軟體的資料抹除程式(Wiper)鎖定以色列

-該惡意軟體被命名為使徒(Apostle)

-駭客組織Agrius曾使用DEADWOOD,一個由駭客組織APT33和APT34共享的另一個資料抹除工具。

-攻擊中使用的其他惡意軟體包括 ASPXSpy Webshell和 IPSec Helper後門

Sentinel Labs的資安研究人員發現一個伊朗駭客組織,以偽裝成勒索軟體的惡意資料抹除程式,從2020年12月開始對以色列發動了破壞性攻擊,被稱為使徒(Apostle)的惡意程式早期版本存在bug,在嘗試刪除資料時會失敗。後期的版本修復了bug,還加入了勒索軟體行為,留下勒索信,通知要贖金才解密資料。研究人員根據程式碼以及它使用的伺服器斷言開發該惡意程式的駭客組織與伊朗政府有關聯,它的主要攻擊目標是以色列。研究人員將該駭客組織命名為Agrius,並認為Agrius偽裝成勒索攻擊的背後是為了掩蓋毀滅數據的實際意圖。

Agrius攻擊週期摘要 , Photo credit: Sentinel Labs

SentinelOne發現最早期的攻擊,Agrius使用一個名為DEADWOOD的數據抹除惡意軟體,為了安裝 DEADWOOD,Agrius會利用未修補伺服器中的漏洞在目標網路上建立立足點,用來部署 ASPXSpy web shell和IPSec Helper的後門。一旦入侵目標網路,Agrius駭客小組將部署DEADWOOD,銷毀MBR 磁碟分割並抹除檔案,然後要求支付贖金以分散受害人的IT團隊其攻擊的真正目的,但是由於DEADWOOD是一個已知的惡意軟體,易被檢測到。

因此Agrius駭客組織在2020年底前建立了一個新工具Apostle,名為Apostle的惡意資料抹除程式,不僅包含DEADWOOD 的功能,更進一步的修復了DEADWOOD在程式碼上的bug,並添加了檔案加密功能,使Apostle變成了功能齊全的勒索軟體,儘管Apostle存在功能強大的檔案加密,但資安研究人員評估了Agrius攻擊的目的僅是削弱營運而不是勒索,故不可能是出於經濟動機的駭客組織。

研究人員還指出,該組織突然重新關注以色列的意義重大,證實了特拉維夫和德黑蘭政府之間網路緊張局勢有升級的趨勢。

有關Agrius駭客組織的情資:

https://otx.alienvault.com/pulse/60ad107f73681c1bc1032235

Source:

https://assets.sentinelone.com/sentinellabs/evol-agrius

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式,但稱仍會公開盜取的資料,愛爾蘭高等法院發布超級禁令,要求Conti歸還數據

Posted on by blogadmin

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。

Conti在其與HSE的談判頁面上發布的免費解密程式

愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

繼愛爾蘭醫療系統被駭後,Conti勒索軟體又作惡,新西蘭五間醫院的IT系統中斷,當地官員稱不會付贖金

Posted on by blogadmin

Key Points:

*受影響的醫院有五間,分別是Waikato醫院, Thames醫院, Tokoroa醫院, Te Kuiti 醫院和Taumaranui醫院

*門診,預約和即將進行手術的病患均已被延遲,並且無法獲取病患的病歷

*醫院員工透露,現場一片混亂,因為什麼都不能做

*懷卡托衞生委員會(Waikato District Health Board,WDHB)已啟動了危機應變方案危機應變方案,以解決此次一網路攻擊事件

Covid 19疫情爆發,世界各地的醫療機構受到各種威脅,不少駭客藉疫情作惡,5月18日新西蘭多個媒體報導,由於WDHB的IT系統遭到駭客攻擊而中斷,當地的所有公立醫院因而受到嚴重的影響,由於電話及電腦系統癱瘓不能繼續門診服務,同時預約服務和即將進行的非緊急手術病患均受到影響,醫護也不能翻查病患的病歷。醫生工會說,醫院和門診人員將系統中斷描述為完全是一片混亂(mayhem) ,有必要將其他一些患者轉移到其他醫院。

當地的醫生協會國家秘書長Deborah Powell表示,據她了解此事件是由Conti勒索軟體所引起的,是與上週對愛爾蘭衛生健康署(Health Service Executive, HSE)發動攻擊的勒索軟體為同一款。

懷卡托衞生委員會(WDHB)在其Facebook頁面上說:“我們已聘請外部援助來解決影響我們IT服務環境的網路安全事件。我們正處於查明所發生情況的早期階段,目前無法在調查事件時提供進一步的細節。已向有關政府當局提供了有關情況的通知。我們不確定解決這種情況將需要多長時間,但我們正在努力使我們的服務恢復。”

Conti被認為是Ryuk 勒索軟體的繼任者,於2020年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應。Conti曾於去年11月攻擊研華,要脅750比特幣,約1300萬美元。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

安盛集團旗下子公司遭Avaddon勒索軟體攻擊,被盜3TB數據,駭客持續發動DDoS,影響集團於香港,泰國,馬來西亞等地的IT運作

Posted on by blogadmin

法國保險業巨擘安盛集團(AXA)子公司Asia Assistance周日(16)證實受到勒索軟體攻擊,集團於香港、泰國、馬來西亞及菲律賓的IT營運受到影響,有客戶敏感資料被盜取。

Avaddon勒索軟體在暗網上有關安盛的頁面

駭客盜取安盛亞洲子公司取了3 TB的數據,據稱其中包括:

身份證

護照複印本

客戶索償記錄

保留協議

拒絕報銷

向客戶付款

合約和報告

所有客戶ID和所有客戶銀行帳戶掃描的檔案

醫院和醫生保留資料(針對欺詐的私人調查)

客戶醫療報告(包括HIV,肝炎,性病和其他疾病報告)。

被駭客公開的護照

直到目前,發現安盛的馬來西亞和菲律賓網站仍不能正常運作,但其香港和泰國網站運作正常。

Avaddon勒索軟體背後的駭客於2021年1月首次宣布,他們將發動DDoS攻擊 ,以摧毀受害者的站點或網路,直到他們主動聯繫並開始就支付贖金進行談判為止。

安盛表示,正調查事件,已通知監管部門及合作夥伴,亦會採取適當措施包括通知受影響客戶。考慮到事件發生的時間,值得注意的是,上週,聯邦調查局(FBI)和澳洲網路安全中心(ACSC)警告說, Avaddon勒索軟體目前正在針對來自美國和世界各地眾多組織進行攻擊。

值得一提的是,大約一周前安盛表示,在法國承保網路保險時將不再理賠勒索軟體的勒索支付。

有關Avaddon的情資,請參考如下:

https://otx.alienvault.com/pulse/60661066000335dac8276e3c

https://otx.alienvault.com/pulse/609975b375143cab4797b20c

Source: https://www.reuters.com/article/us-axa-cyber/axa-division-in-asia-hit-by-ransomware-cyber-attack-idUSKCN2CX0B0

外媒報導美運油公司Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金,以換取解密工具。

Posted on by blogadmin
Colonial Pipeline已經重啟了整個管道系統,開始向所有的市場輸送產品

Key Points:

*DarkSide的解密工具還原速度太慢,Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實,美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後,向駭客支付了贖金支付近500萬美元(約新台幣1.39億元)

*綜合外媒報導,Colonial Pipeline在發現攻擊後不久就付款了,仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導,Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四(5/13)報導,美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件,被迫關閉美東最大管線系統,導致東岸近一半的燃料供應中斷,並導致美國東南部的汽油短缺,威脅數百萬人的汽油供應,拜登政府一度為此發布緊急狀態。

外媒消息指,Colonial Pipeline以比特幣支付近500萬美元(台幣約1.39億元)的贖金給DarkSide,但解密工具解密太慢,以至於備份也用於恢復系統。5/13早些時候,美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者,由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊,因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作,拜登表示,幕後黑手在俄羅斯,但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出,事件反映美國須加強基礎建設安全性,並於周三(5/12)簽署行政命令,加強聯邦政府及私人機構的網路保安。

另外,德國化學品分銷龍頭布朗德(Brenntag)在5月初也遭DarkSide加密,偷走了150Gb數據,後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務(Ransomware-as-a-Service, RaaS)的運作方式,勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後,DarkSide核心團隊將獲得20-30%的贖金,其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html