外媒報導美運油公司Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金,以換取解密工具。

Colonial Pipeline已經重啟了整個管道系統,開始向所有的市場輸送產品

Key Points:

*DarkSide的解密工具還原速度太慢,Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實,美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後,向駭客支付了贖金支付近500萬美元(約新台幣1.39億元)

*綜合外媒報導,Colonial Pipeline在發現攻擊後不久就付款了,仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導,Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四(5/13)報導,美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件,被迫關閉美東最大管線系統,導致東岸近一半的燃料供應中斷,並導致美國東南部的汽油短缺,威脅數百萬人的汽油供應,拜登政府一度為此發布緊急狀態。

外媒消息指,Colonial Pipeline以比特幣支付近500萬美元(台幣約1.39億元)的贖金給DarkSide,但解密工具解密太慢,以至於備份也用於恢復系統。5/13早些時候,美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者,由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊,因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作,拜登表示,幕後黑手在俄羅斯,但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出,事件反映美國須加強基礎建設安全性,並於周三(5/12)簽署行政命令,加強聯邦政府及私人機構的網路保安。

另外,德國化學品分銷龍頭布朗德(Brenntag)在5月初也遭DarkSide加密,偷走了150Gb數據,後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務(Ransomware-as-a-Service, RaaS)的運作方式,勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後,DarkSide核心團隊將獲得20-30%的贖金,其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html

美油管Colonial Pipeline遇駭,造成燃料短缺引高度關注,拜登今簽署行政命令以增強美國網路安全的防禦能力

美國總統拜登今天簽署網路安全行政命令,旨在現代化美國抵禦網路攻擊的防範,建立標準化的事件回應手冊,並加強服務提供商與執法部門之間的溝通,該行政命令是繼今年針對美國眾多的網路攻擊(如去年12月開始的 SolarWinds供應鏈攻擊Microsoft Exchange伺服器漏洞以及最近針對美國最大的燃料管道Colonial Pipeline的攻擊等)之後下達的。

拜登周三命令美國機構和為其提供服務的軟體承包商加強對網路攻擊的防禦措施,並讓他們更及時地獲得執法部門進行調查所必需的資訊。行政命令為美國機構和向政府供貨的軟體承包商制定了基準網絡安全標準,包括要求使用多重認證和加密,並要求聯邦資訊技術供應商披露關於駭客的某些數據。

該命令還設立了一個網路安全審查委員會,由政府和私人企業的網路安全專家共同領導。該委員會將被授權調查重大網路入侵事件併發布安全建議。官員們說,該委員會大致仿照美國全國運輸安全委員會(National Transportation Safety Board)的運作模式,後者負責調查飛機失事和其他交通事故。

行政命令指示政府採取以下行動:

*要求IT和OT服務提供商(包括雲託管提供商)共享有關他們已意識到的網路安全威脅和入侵,並消除阻礙共享此類資訊的合約問題。

*現代化聯邦政府的IT服務,包括向零信任(Zero Trust)架構邁進,要求多重要素驗證,對靜態數據和傳輸中的數據進行加密,並針對使用雲端服務制定嚴格的安全準則。

*通過制定準則,工具和最佳實踐來審核和確保關鍵軟體不會在供應鏈攻擊中受到惡意參與者的篡改,從而提高供應鏈的安全性。作為該計劃的一部分,聯邦政府將建立一個“能源之星”類型的程式,以表明軟體是安全開發的。

*建立一個“網路安全審查委員會”,其中包括聯邦和私人企業的成員,他們將在重大網路事件後召集會議,以評估攻擊,提供建議並與執法部門共享相關的機密資訊。

*在所有政府機構中創建標準化的playbook,以應對入侵和網路攻擊。

*通過部署集中式端點檢測和回應(EDR)解決方案以及政府內部資訊共享,改善對政府網路上的安全漏洞和入侵行為的檢測和補救。

值得一提的是,拜登針對網路安全的行政命令是在Colonial Pipeline宣布重啓管道運作的一小時後簽署的。

關於改善美國網路安全的行政命令:

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

美國宣布進入緊急狀態後,使用DarkSide勒索軟體的駭客稱將會對攻擊的對象審查並澄清他們目的只為錢,無意造成社會不安

操作勒索軟體 DarkSide 的駭客在暗網聲明中表示,該組織並不參與地緣政治,目的只是為了錢,後續將引入審核機制,以避免未來(使用DarkSide勒索軟體的)合作夥伴進行加密(勒索)時造成社會後果。

據多家國外媒體報導,普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實,Colonial Pipeline是遭到勒索軟體DarkSide的攻擊,並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cyber​​eason介紹,DarkSide是一個駭客組織,通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事,但該組織對於展現道德水平有一定追求,甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象,與之相對的是鼓勵攻擊英語國家的盈利公司。

  Cyber​​eason透露,DarkSide採取的是“雙重勒索”攻擊,不僅鎖住被害者的數據勒索贖金,同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

  雖然DarkSide在聲明中並沒有提及輸油網絡的事件,但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後,美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責,FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

  值得一提的是,在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌,但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道,後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期,考慮到庫存情況,Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外,根據FireEye的追隨,下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

負責美國東岸近一半燃油供應的Colonial Pipeline遭Darkside勒索軟體攻擊,5月7日突然宣布關閉整個輸送網路,迄今仍未恢復

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊,在兩小時內被盜取近100GB數據,並植入惡意程式加密數據鎖住系統,需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路,影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指,相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查,並已通知聯邦政府及執法部門。

DarkSide在黑暗網上的網站
DarkSide在暗網上的網站詳細自我介紹
DarkSide勒索信的樣本

Colonial Pipeline官方聲明指,電腦系統遭網攻,需暫停所有燃油管道運作,以避免發生意外並控制威脅。公司隨後確認,事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司,設有長達5,500英里的管道,將燃料從墨西哥灣沿岸運送至美國東南部,更佔東岸燃料45%供應,服務5,000萬民眾,包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料,每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶,另可向紐約輸送90萬桶,其廣泛的管道網路服務於美國主要機場,包括亞特蘭大的機場,這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊,使電力供應受影響。有專家表示,勒索軟體攻擊工業的事件比想像中更頻繁發生,但相關消息甚少獲得報道。

白宮亦對此發表聲明,表示總統拜登(Joe Biden)已聽取事件簡報,聯邦政府正努力評估影響,盡力協助Colonial Pipeline恢復運作,避免燃料供應中斷。美國能源部發言人表示,正與Colonial Pipeline,州政府,能源業人士及多個政府部門合作,支援Colonial Pipeline維持服務,並監察能源供應是否有受影響。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793

DarkSide勒索軟體的背後駭客擴展其敲詐技倆–賣空受害者的股價

DarkSide勒索軟體的背後駭客正在擴展其勒索策略,針對在美國那斯達克(NASDAQ)或其他股票市場上市的公司。

DarkSide的駭客其暗網站上發布的公告說,它願意提前通知不當的市場交易者,以便他們可以賣空公司的股票價格,然後才在其暗網公佈受害者資料。

圖片的內容: 現在我們的團隊和合作夥伴對許多在那斯達克和其他證券交易所進行交易的公司進行加密。如果公司拒絕付款。我們準備在公佈之前提供資料,這樣就可賺取股票下跌的部分,寫信給我們與我們聯繫,我們將為您提供詳細資訊。

Credit to: The Record

DarkSide認為,讓一家上市交易公司的名字在其網站上的負面影響將足以導致其股價下跌,並使狡猾的交易者獲利。

根據Recorded Future的資安分析師Dmitry Smilyanets說,儘管其他勒索軟體組織曾討論過如何利用公開披露攻擊對股市造成影響,但這從未成為他們官方攻擊媒介,DarkSide正式成為第一個利用攻擊打擊受害公司股價的勒索軟體。

DarkSide的公告同時也是以一種間接手段來威脅被入侵的公司,即不支付贖金可導致負面新聞報導,其影響力足以影響其股市市場,並足以迫使一些受害者支付所要求的贖金。

這種方法毫無疑問只是勒索軟體組織不斷增加的勒索工具庫中的最新敲詐手法之一。資安分析師說,我們的研究證明,支付贖金的人越來越少,這意味著勒索軟體參與者必須找到新的方法來勒索受害者的錢,去年,我們看到了DDoS攻擊的威脅,但這些威脅似乎並沒有真正發揮作用,因此他們不斷尋找其他方法。

一般勒索軟體組織敲詐手法:

*受到DDoS的攻擊

*打電話給要從備份中恢復數據的受害者

*試圖對負責批准贖金支付的高管提出人身威脅

*威脅要通知受害公司業務合作夥伴

*威脅受害公司,他們會將安全漏洞通知記者

*威脅將有關違規行為通知隱私監管機構,以便該公司可被罰款

*甚至發送電子郵件給受害者的客戶,要求客戶向公司施加壓力,要求其支付贖金,並避免客戶的數據在線上洩漏

有關DarkSide的情資:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/603d19ff5e6680fa73bbf7b3