情資才是王道 - 竣盟科技

認了！全球肉類供應大廠JBS付1100萬美元的贖金給REvil！

Posted on 2021 年 6 月 10 日2021 年 6 月 10 日 by blogadmin

全球最大肉類加工巨頭JBS的美國分公司在6月9日一份聲明中，承認支付了支付價值 1100 萬美元(約新台幣3億800萬元)的給駭客。JBS在5月30日遭勒索軟體攻擊，旗下所有美國肉類加工廠一度全線停產，影響整個美國市場約五分之一的肉類供應，除美國之外，澳洲及加拿大的肉類加工場也被迫關閉，6月2日美國聯邦調查局(FBI)將這次攻擊歸咎於 REvil勒索軟體，隔天JBS迅速恢復系統重新上線。

今JBS 美國公司執行長 Andre Nogueira 表示，公司是在大部分工廠恢復運作之後，支付贖金給駭客的，Nogueira說：“對我們公司和我個人而言，這是一個非常艱難的決定。“但是我們認為必須做出這一決定，以防止我們的客戶面臨任何潛在風險。” 該公司表示，支付贖金是為了“減輕與攻擊相關的任何不可預見的問題，並確保沒有數據被洩露”。

JBS 並不是最近第一家向俄羅斯網路犯罪分子支付贖金的企業，上個月Colonial Pipeline 也遭到DarkSide勒索軟體攻擊，並承認向 DarkSide 的背後駭客支付了 440 萬美元的比特幣，6月7日美國司法部宣布成功追回Colonial Pipeline被勒索的多半贖金。

聯邦調查局敦促被駭客攻擊的公司和組織避免支付贖金，指出付贖金不能保證會結束網路攻擊，並表示被駭客勒贖的公司應向治安單位求助。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

威剛遭駭的幕後黑手，Ragnar Locker勒索軟體!外媒爆駭客已盜取威剛1.5TB機密資訊，今已流出47.3MB數據

Posted on 2021 年 6 月 8 日2021 年 6 月 8 日 by blogadmin

自4月27日起臺灣證交所規定，上市公司若發現重大資通安全事件，必須及時發布重訊，在5月26記憶體大廠威剛科技(ADATA)揭露受到勒索軟體攻擊，成了首間因重大資安事件而發布重訊的公司，但當時沒有透露為哪一支勒索軟體所為，今根據印度網站科技Nadu的報導， Ragnar Locker的背後駭客已在其揭秘網站上發佈有關ADATA的資料，稱是他們駭入ADATA的系統並已盜出 1.5TB 機密資訊，為了證明此言非虛，現已釋出一個名為”Proof Pack archive with gitlab” 檔案內含合約協議、存取檔案系統的螢幕截圖(screenshots of accessed filesystems)、電路板電路圖、法律文件、保密協議等。

另外駭客堅稱，他們確實提出“幫助”威剛修復漏洞並恢復他們的系統，但該公司拒絕合作，使他們不得不發佈其數據。目前駭客沒有透露索取贖金的金額也不清楚之後會否公開其他數據。

Ragnar Locker的揭秘網站上ADATA的頁面，駭客釋出47.3MB的數據供下載

據信ADATA事件，是Ragnar Locker勒索軟體的毒手首次伸延至臺灣企業。Ragnar Locker在國外其實臭名昭著，美國FBI 在2020 年 11 月發佈編號為MU-000140-MW的Flash Alert，警告各行業小心提防Ragnar Locker的攻擊。

Know about Ragnar Locker:

Ragnar Locker勒索軟體於2019年12月底首次被發現，它與Lockbit曾是Maze於2020年6月份成立的Maze Cartel勒索聯盟的一員，該聯盟旨在分享受害者資訊，攻擊手法和策略，目的在於提高攻擊和勒索效率，建立一個互惠互利的關係。Ragnar Locker常瞄準大型企業，要求的贖金規模通常在1,000萬美元左右。

Ragnar Locker曾攻擊的知名受害企業包括:

*日本知名遊戲大廠卡普空，被盜1TB 數據，勒索1100萬美元的贖金

*義大利酒商Campari Group，被盜多達2TB未加密的檔案，提出高達1,500萬美元的贖金要求

*法國貨櫃船運業者CMA CGM ，要求1,000萬美元的贖金，最後CMA CGM以450萬美元支付贖金。

*葡萄牙跨國能源巨頭Energias de Portugal竊取了 10 TB 的，勒索1100萬美元的贖金

有關Ragnar Locker勒索軟體的情資:

https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

SolarWinds事件的幕後駭客Nobelium又來襲!微軟警示駭客利用NativeZone後門攻擊了24個國家/150 多個組織， CISA 與FBI發布聯合警告。

Posted on 2021 年 5 月 31 日2021 年 5 月 31 日 by blogadmin

Key Points:

*微軟警告說SolarWinds事件的幕後駭客已經又發起了最新一波的大型網路攻擊

*名為 Nobelium 的駭客組織上週針對全球 24 個國家/地區的 150 多個組織使用的3000 個電子郵件帳戶，發送假裝來自美國國際開發署的惡意電子郵件。

*Nobelium 植入名為NativeZone的後門

*大部分惡意電子郵件已被阻止並標記為垃圾郵件，但有些已進入目標公司的網路

5 月 27 日微軟在博客中示警，SolarWinds事件的幕後駭客已經對政府機構、智庫組織、和非政府組織 (NGO)發起了新一輪的網路釣魚攻擊。駭客組織 Nobelium(又名APT 29,，Dark Halo，UNC2452，Cozy Bear等)將 150多個不同組織，大約 3,000 個的電子郵件帳戶作為目標。“雖然美國組織受到的攻擊比例最大，但目標受害者至少跨越 24 個國家。至少有四分之一的目標組織參與了國際發展、人道主義和人權工作，”微軟指出。它還進一步補充說，這些網路攻擊似乎是為情報收集而進行的。據稱，一系列入侵中的最新一波始於 2021 年 1 月 28 日，並於5月25日達到頂峰。

微軟在解釋網路攻擊是如何進行的時候說，Nobelium 是通過存取美國國際開發署(United States Agency for International Development, USAID)的 Constant Contact 帳戶來發起攻擊的。Constant Contact 是一種用於發送行銷電子郵件的平臺，從這裡攻擊者能分發這些看似真實但包含惡意連結的網路釣魚電子郵件，點擊該連結後，連結會傳送一個惡意的ISO檔案（ ICA-declass.iso），來分發名為NativeZone的後門，該後門含自定義Cobalt Strike Beacon ( Documents.dll），使駭客具有在受害者系統上部署長駐能力，並能進行橫向移動，洩露數據以及安裝其他惡意程式的功能。

微軟說這場網路攻擊引人注目的原因有以下三個：

1.NOBELIUM繼續在重要的組織中尋求入侵方法，這將為大規模間諜活動打開大門，就像SolarWinds事件一樣。

2.這次，駭客似乎以許多人道主義和人權組織為目標，這些組織以前很少成為目標。

3. 無論國家領導人之間的小規模衝突和出於確切原因實施制裁，APT駭客的攻擊都沒有顯示出任何放緩的跡象。

在微軟示警後，美國國土安全部網路安全暨基礎安全局（CISA）與聯邦調查局(FBI)聯合發布了代號為AA21-148A的警告，同時公佈有關入侵指標( IOCs) 和MITRE ATT&CK手法。

有關情資:

https://otx.alienvault.com/pulse/60afece345be6dfd2a66ea3c

伊朗國家級駭客組織以惡意資料抹除程式(Wiper)偽裝勒索軟體瞄準以色列

Posted on 2021 年 5 月 26 日2021 年 5 月 26 日 by blogadmin

Key Points:

-伊朗APT駭客組織Agrius以偽裝成勒索軟體的資料抹除程式(Wiper)鎖定以色列

-該惡意軟體被命名為使徒(Apostle)

-駭客組織Agrius曾使用DEADWOOD，一個由駭客組織APT33和APT34共享的另一個資料抹除工具。

-攻擊中使用的其他惡意軟體包括 ASPXSpy Webshell和 IPSec Helper後門

Sentinel Labs的資安研究人員發現一個伊朗駭客組織，以偽裝成勒索軟體的惡意資料抹除程式，從2020年12月開始對以色列發動了破壞性攻擊，被稱為使徒(Apostle)的惡意程式早期版本存在bug，在嘗試刪除資料時會失敗。後期的版本修復了bug，還加入了勒索軟體行為，留下勒索信，通知要贖金才解密資料。研究人員根據程式碼以及它使用的伺服器斷言開發該惡意程式的駭客組織與伊朗政府有關聯，它的主要攻擊目標是以色列。研究人員將該駭客組織命名為Agrius，並認為Agrius偽裝成勒索攻擊的背後是為了掩蓋毀滅數據的實際意圖。

Agrius攻擊週期摘要 , Photo credit: Sentinel Labs

SentinelOne發現最早期的攻擊，Agrius使用一個名為DEADWOOD的數據抹除惡意軟體，為了安裝 DEADWOOD，Agrius會利用未修補伺服器中的漏洞在目標網路上建立立足點，用來部署 ASPXSpy web shell和IPSec Helper的後門。一旦入侵目標網路，Agrius駭客小組將部署DEADWOOD，銷毀MBR 磁碟分割並抹除檔案，然後要求支付贖金以分散受害人的IT團隊其攻擊的真正目的，但是由於DEADWOOD是一個已知的惡意軟體，易被檢測到。

因此Agrius駭客組織在2020年底前建立了一個新工具Apostle，名為Apostle的惡意資料抹除程式,不僅包含DEADWOOD 的功能，更進一步的修復了DEADWOOD在程式碼上的bug，並添加了檔案加密功能，使Apostle變成了功能齊全的勒索軟體，儘管Apostle存在功能強大的檔案加密，但資安研究人員評估了Agrius攻擊的目的僅是削弱營運而不是勒索，故不可能是出於經濟動機的駭客組織。

研究人員還指出，該組織突然重新關注以色列的意義重大，證實了特拉維夫和德黑蘭政府之間網路緊張局勢有升級的趨勢。

有關Agrius駭客組織的情資:

https://otx.alienvault.com/pulse/60ad107f73681c1bc1032235

Source:

https://assets.sentinelone.com/sentinellabs/evol-agrius

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式，但稱仍會公開盜取的資料，愛爾蘭高等法院發布超級禁令，要求Conti歸還數據

Posted on 2021 年 5 月 21 日2021 年 5 月 21 日 by blogadmin

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署（Health Service Executive, HSE）發布了免費的解密程式，但警告他們仍將出售或公開盜來的數據。上週五(5/15)，愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊，後者所幸及時發現未被得逞， HSE被迫關閉其IT系統並切斷網路預防災害擴大，但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider)，其總部位於俄羅斯聖彼得堡地區，該組織主要使用Trickbot，Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結，該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案，但駭客警告說，如果不支付19,999,000美元的贖金，他們仍將在出售或公開盜取的私人數據。

愛爾蘭的BH Consulting的CEO，Europol的前網路安全顧問Brian Honan表示，即使解密工具有效，上週攻擊達到前所未有的規模，HSE需重建其IT基礎架構。他說：“這是為了確保系統乾淨無感染，並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早，HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令，該禁令要求擁有從HSE竊取數據的任何人將其移交，並且不得透露，交易或處理該數據。HSE表示，此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法， HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據，並通過透露其姓名，電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令，但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報，有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

繼愛爾蘭醫療系統被駭後，Conti勒索軟體又作惡，新西蘭五間醫院的IT系統中斷，當地官員稱不會付贖金

Posted on 2021 年 5 月 19 日2021 年 5 月 21 日 by blogadmin

Key Points:

*受影響的醫院有五間,分別是Waikato醫院, Thames醫院, Tokoroa醫院, Te Kuiti 醫院和Taumaranui醫院

*門診，預約和即將進行手術的病患均已被延遲，並且無法獲取病患的病歷

*醫院員工透露，現場一片混亂，因為什麼都不能做

*懷卡托衞生委員會(Waikato District Health Board，WDHB)已啟動了危機應變方案危機應變方案，以解決此次一網路攻擊事件

Covid 19疫情爆發，世界各地的醫療機構受到各種威脅，不少駭客藉疫情作惡，5月18日新西蘭多個媒體報導，由於WDHB的IT系統遭到駭客攻擊而中斷，當地的所有公立醫院因而受到嚴重的影響，由於電話及電腦系統癱瘓不能繼續門診服務，同時預約服務和即將進行的非緊急手術病患均受到影響，醫護也不能翻查病患的病歷。醫生工會說，醫院和門診人員將系統中斷描述為完全是一片混亂(mayhem) ，有必要將其他一些患者轉移到其他醫院。

當地的醫生協會國家秘書長Deborah Powell表示，據她了解此事件是由Conti勒索軟體所引起的，是與上週對愛爾蘭衛生健康署（Health Service Executive, HSE）發動攻擊的勒索軟體為同一款。

懷卡托衞生委員會(WDHB)在其Facebook頁面上說：“我們已聘請外部援助來解決影響我們IT服務環境的網路安全事件。我們正處於查明所發生情況的早期階段，目前無法在調查事件時提供進一步的細節。已向有關政府當局提供了有關情況的通知。我們不確定解決這種情況將需要多長時間，但我們正在努力使我們的服務恢復。”

Conti被認為是Ryuk 勒索軟體的繼任者,於2020年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案，讓防護系統來不及因應。Conti曾於去年11月攻擊研華，要脅750比特幣，約1300萬美元。

愛爾蘭國家網路安全中心發布警報，有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

安盛集團旗下子公司遭Avaddon勒索軟體攻擊，被盜3TB數據，駭客持續發動DDoS，影響集團於香港，泰國，馬來西亞等地的IT運作

Posted on 2021 年 5 月 17 日2021 年 5 月 17 日 by blogadmin

法國保險業巨擘安盛集團（AXA）子公司Asia Assistance周日(16)證實受到勒索軟體攻擊，集團於香港、泰國、馬來西亞及菲律賓的IT營運受到影響，有客戶敏感資料被盜取。

駭客盜取安盛亞洲子公司取了3 TB的數據，據稱其中包括：

身份證

護照複印本

客戶索償記錄

保留協議

拒絕報銷

向客戶付款

合約和報告

所有客戶ID和所有客戶銀行帳戶掃描的檔案

醫院和醫生保留資料（針對欺詐的私人調查）

客戶醫療報告（包括HIV，肝炎，性病和其他疾病報告）。

直到目前，發現安盛的馬來西亞和菲律賓網站仍不能正常運作，但其香港和泰國網站運作正常。

Avaddon勒索軟體背後的駭客於2021年1月首次宣布，他們將發動DDoS攻擊，以摧毀受害者的站點或網路，直到他們主動聯繫並開始就支付贖金進行談判為止。

安盛表示，正調查事件，已通知監管部門及合作夥伴，亦會採取適當措施包括通知受影響客戶。考慮到事件發生的時間，值得注意的是，上週，聯邦調查局（FBI）和澳洲網路安全中心（ACSC）警告說， Avaddon勒索軟體目前正在針對來自美國和世界各地眾多組織進行攻擊。

值得一提的是，大約一周前安盛表示，在法國承保網路保險時將不再理賠勒索軟體的勒索支付。

有關Avaddon的情資，請參考如下:

https://otx.alienvault.com/pulse/60661066000335dac8276e3c

https://otx.alienvault.com/pulse/609975b375143cab4797b20c

Source: https://www.reuters.com/article/us-axa-cyber/axa-division-in-asia-hit-by-ransomware-cyber-attack-idUSKCN2CX0B0

外媒報導美運油公司Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金，以換取解密工具。

Posted on 2021 年 5 月 14 日2021 年 5 月 14 日 by blogadmin

Colonial Pipeline已經重啟了整個管道系統，開始向所有的市場輸送產品

Colonial Pipeline can now report that we have restarted our entire pipeline system and that product delivery has commenced to all markets we serve. https://t.co/kpWNw0UQve pic.twitter.com/9r5hA2CLNn
— Colonial Pipeline (@Colpipe) May 13, 2021

Key Points:

*DarkSide的解密工具還原速度太慢，Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實，美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後，向駭客支付了贖金支付近500萬美元（約新台幣1.39億元）

*綜合外媒報導，Colonial Pipeline在發現攻擊後不久就付款了，仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導，Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四（5/13）報導，美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件，被迫關閉美東最大管線系統，導致東岸近一半的燃料供應中斷，並導致美國東南部的汽油短缺，威脅數百萬人的汽油供應，拜登政府一度為此發布緊急狀態。

外媒消息指，Colonial Pipeline以比特幣支付近500萬美元（台幣約1.39億元）的贖金給DarkSide，但解密工具解密太慢，以至於備份也用於恢復系統。5/13早些時候，美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者，由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊，因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作，拜登表示，幕後黑手在俄羅斯，但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出，事件反映美國須加強基礎建設安全性，並於周三(5/12)簽署行政命令，加強聯邦政府及私人機構的網路保安。

另外，德國化學品分銷龍頭布朗德（Brenntag）在5月初也遭DarkSide加密，偷走了150Gb數據，後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS）的運作方式，勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後，DarkSide核心團隊將獲得20-30％的贖金，其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html

美國宣布進入緊急狀態後，使用DarkSide勒索軟體的駭客稱將會對攻擊的對象審查並澄清他們目的只為錢，無意造成社會不安

Posted on 2021 年 5 月 12 日2021 年 5 月 12 日 by blogadmin

操作勒索軟體 DarkSide 的駭客在暗網聲明中表示，該組織並不參與地緣政治，目的只是為了錢，後續將引入審核機制，以避免未來（使用DarkSide勒索軟體的）合作夥伴進行加密（勒索）時造成社會後果。

據多家國外媒體報導，普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實，Colonial Pipeline是遭到勒索軟體DarkSide的攻擊，並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cybereason介紹，DarkSide是一個駭客組織，通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事，但該組織對於展現道德水平有一定追求，甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象，與之相對的是鼓勵攻擊英語國家的盈利公司。

　　Cybereason透露，DarkSide採取的是“雙重勒索”攻擊，不僅鎖住被害者的數據勒索贖金，同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

　　雖然DarkSide在聲明中並沒有提及輸油網絡的事件，但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後，美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責，FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

　　值得一提的是，在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌，但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道，後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期，考慮到庫存情況，Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外，根據FireEye的追隨，下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

負責美國東岸近一半燃油供應的Colonial Pipeline遭Darkside勒索軟體攻擊，5月7日突然宣布關閉整個輸送網路，迄今仍未恢復

Posted on 2021 年 5 月 10 日2021 年 5 月 10 日 by blogadmin

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊，在兩小時內被盜取近100GB數據，並植入惡意程式加密數據鎖住系統，需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路，影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指，相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查，並已通知聯邦政府及執法部門。

DarkSide在黑暗網上的網站 — DarkSide在暗網上的網站詳細自我介紹

Colonial Pipeline官方聲明指，電腦系統遭網攻，需暫停所有燃油管道運作，以避免發生意外並控制威脅。公司隨後確認，事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司，設有長達5,500英里的管道，將燃料從墨西哥灣沿岸運送至美國東南部，更佔東岸燃料45%供應，服務5,000萬民眾，包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料，每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶，另可向紐約輸送90萬桶，其廣泛的管道網路服務於美國主要機場，包括亞特蘭大的機場，這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊，使電力供應受影響。有專家表示，勒索軟體攻擊工業的事件比想像中更頻繁發生，但相關消息甚少獲得報道。

白宮亦對此發表聲明，表示總統拜登（Joe Biden）已聽取事件簡報，聯邦政府正努力評估影響，盡力協助Colonial Pipeline恢復運作，避免燃料供應中斷。美國能源部發言人表示，正與Colonial Pipeline，州政府，能源業人士及多個政府部門合作，支援Colonial Pipeline維持服務，並監察能源供應是否有受影響。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793