操作勒索軟體 DarkSide 的駭客在暗網聲明中表示，該組織並不參與地緣政治，目的只是為了錢，後續將引入審核機制，以避免未來（使用DarkSide勒索軟體的）合作夥伴進行加密（勒索）時造成社會後果。

據多家國外媒體報導，普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實，Colonial Pipeline是遭到勒索軟體DarkSide的攻擊，並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cyber​​eason介紹，DarkSide是一個駭客組織，通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事，但該組織對於展現道德水平有一定追求，甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象，與之相對的是鼓勵攻擊英語國家的盈利公司。

　　Cyber​​eason透露，DarkSide採取的是“雙重勒索”攻擊，不僅鎖住被害者的數據勒索贖金，同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

　　雖然DarkSide在聲明中並沒有提及輸油網絡的事件，但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後，美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責，FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

　　值得一提的是，在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌，但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道，後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期，考慮到庫存情況，Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外，根據FireEye的追隨，下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊，在兩小時內被盜取近100GB數據，並植入惡意程式加密數據鎖住系統，需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路，影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指，相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查，並已通知聯邦政府及執法部門。

Colonial Pipeline官方聲明指，電腦系統遭網攻，需暫停所有燃油管道運作，以避免發生意外並控制威脅。公司隨後確認，事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司，設有長達5,500英里的管道，將燃料從墨西哥灣沿岸運送至美國東南部，更佔東岸燃料45%供應，服務5,000萬民眾，包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料，每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶，另可向紐約輸送90萬桶，其廣泛的管道網路服務於美國主要機場，包括亞特蘭大的機場，這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊，使電力供應受影響。有專家表示，勒索軟體攻擊工業的事件比想像中更頻繁發生，但相關消息甚少獲得報道。

白宮亦對此發表聲明，表示總統拜登（Joe Biden）已聽取事件簡報，聯邦政府正努力評估影響，盡力協助Colonial Pipeline恢復運作，避免燃料供應中斷。美國能源部發言人表示，正與Colonial Pipeline，州政府，能源業人士及多個政府部門合作，支援Colonial Pipeline維持服務，並監察能源供應是否有受影響。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793

DarkSide勒索軟體的背後駭客正在擴展其勒索策略，針對在美國那斯達克(NASDAQ)或其他股票市場上市的公司。

DarkSide的駭客其暗網站上發布的公告說，它願意提前通知不當的市場交易者，以便他們可以賣空公司的股票價格，然後才在其暗網公佈受害者資料。

圖片的內容: 現在我們的團隊和合作夥伴對許多在那斯達克和其他證券交易所進行交易的公司進行加密。如果公司拒絕付款。我們準備在公佈之前提供資料，這樣就可賺取股票下跌的部分，寫信給我們與我們聯繫，我們將為您提供詳細資訊。

DarkSide認為，讓一家上市交易公司的名字在其網站上的負面影響將足以導致其股價下跌，並使狡猾的交易者獲利。

根據Recorded Future的資安分析師Dmitry Smilyanets說，儘管其他勒索軟體組織曾討論過如何利用公開披露攻擊對股市造成影響，但這從未成為他們官方攻擊媒介，DarkSide正式成為第一個利用攻擊打擊受害公司股價的勒索軟體。

DarkSide的公告同時也是以一種間接手段來威脅被入侵的公司，即不支付贖金可導致負面新聞報導，其影響力足以影響其股市市場，並足以迫使一些受害者支付所要求的贖金。

這種方法毫無疑問只是勒索軟體組織不斷增加的勒索工具庫中的最新敲詐手法之一。資安分析師說，我們的研究證明，支付贖金的人越來越少，這意味著勒索軟體參與者必須找到新的方法來勒索受害者的錢，去年，我們看到了DDoS攻擊的威脅，但這些威脅似乎並沒有真正發揮作用，因此他們不斷尋找其他方法。

一般勒索軟體組織敲詐手法:

*受到DDoS的攻擊

*打電話給要從備份中恢復數據的受害者

*試圖對負責批准贖金支付的高管提出人身威脅

*威脅要通知受害公司業務合作夥伴

*威脅受害公司，他們會將安全漏洞通知記者

*威脅將有關違規行為通知隱私監管機構，以便該公司可被罰款

*甚至發送電子郵件給受害者的客戶，要求客戶向公司施加壓力，要求其支付贖金，並避免客戶的數據在線上洩漏

有關DarkSide的情資:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/603d19ff5e6680fa73bbf7b3