由于美國最大的輸油管道商Colonial Pipeline上周末遭遇勒索軟件攻擊暫停運營，美國運輸部聯(lián)邦機動車安全局(FMCSA)昨日發(fā)布《地區(qū)緊急狀態(tài)聲明》，臨時解除禁止燃料公路運輸?shù)姆桑⒃试S油罐車駕駛員工作更長的時間。

[[398752]]

該豁免適用于將汽油、柴油、噴氣發(fā)動機燃料和其他精煉石油產(chǎn)品運輸至阿拉巴馬州、阿肯色州、哥倫比亞特區(qū)、特拉華州、佛羅里達州、喬治亞州、肯塔基州、路易斯安那州、馬里蘭州、密西西比州、新澤西州、紐約州、北卡羅來納州、賓夕法尼亞州、南卡羅來納州、田納西州、德克薩斯州和弗吉尼亞州等十八個州的車輛。

1. 緊急狀態(tài)聲明是“杯水車薪”

Colonial Pipeline的輸油管道每天運送250萬桶石油，占東海岸柴油、汽油和噴氣發(fā)動機燃料供應(yīng)量的45%。

除油罐車外，美國運輸部發(fā)布的臨時赦免令還允許通過油輪將石油產(chǎn)品運到紐約，但這遠遠不足以彌補輸油管道中斷損失的運力，大量燃料現(xiàn)在被困在德克薩斯州的煉油廠。

獨立石油市場分析師高拉夫·夏爾馬(Gaurav Sharma)指出：“除非在星期二之前解決問題，否則他們將陷入大麻煩。首先受到打擊的地區(qū)將是亞特蘭大和田納西州，然后多米諾骨牌效應(yīng)會迅速傳遞到紐約。”

本周一，美國的燃油價格尚未受到勒索軟件攻擊事件影響，但專家指出，如果輸油管道中斷時間延長，勢必會影響到油價和期貨市場。

2. 真兇浮出水面

波士頓安全公司Cybereason的首席執(zhí)行官Lior Div周一向路透社透露，攻擊Colonial Pipeline的勒索軟件團伙是DarkSide：“它們非常新，但組織性很強。”Div透露，DarkSide的數(shù)據(jù)泄露網(wǎng)站上已經(jīng)有80多個未支付贖金的受害企業(yè)的數(shù)據(jù)被公開泄漏。

據(jù)悉，Darkside經(jīng)營著一個勒索軟件即服務(wù)業(yè)務(wù)，為其他網(wǎng)絡(luò)犯罪“會員”提供勒索軟件租用業(yè)務(wù)，而這些會員在成功實施勒索軟件攻擊后向DarkSide支付一定比例的收入。

安全牛查閱DarkTracer的最新勒索軟件統(tǒng)計，發(fā)現(xiàn)2020年DarkSide的攻擊數(shù)量位列TOP10行列(第九名，下圖)。

自2020年年中以來，Darside一直保持活躍，盡管該團伙1月份曾宣布“金盆洗手”并發(fā)布了解密密鑰，但安全公司Cyber Reason指出，該組織的“隱退”只是掩人耳目的方法，最近又發(fā)布了DarkSide 2.0，其背后是一群非常資深的勒索軟件攻擊專家。

DarkSide還有一個非常高效的公關(guān)部門，經(jīng)常邀請記者檢查其泄漏的數(shù)據(jù)，并聲稱曾匿名向慈善機構(gòu)捐款。今年3月份，DarkSide發(fā)布了功能和“贏利”能力更強的新版勒索軟件，不但在線發(fā)布新聞稿還邀請媒體對其進行采訪。

DarkSide的代碼看上去就是一個標準的勒索軟件，與許多勒索軟件類似，避免使用俄語、哈薩克語和烏克蘭語，讓自己看上去與前蘇聯(lián)加盟共和國沒有關(guān)系。

但是Digital Shadows的研究表明，DarkSide網(wǎng)絡(luò)犯罪團伙可能位于講俄語的國家，因為它避免了攻擊前蘇聯(lián)各共和國，包括俄羅斯、烏克蘭、白俄羅斯、格魯吉亞、亞美尼亞、摩爾多瓦、阿塞拜疆、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、土庫曼斯坦和烏茲別克斯坦。

Digital Shadows聯(lián)合創(chuàng)始人James Chappell認為，DarkSide很可能是從遠程訪問賬戶作為攻擊的切入點，并且很可能已經(jīng)購買了TeamViewer和微軟RDP等遠程桌面軟件的泄漏賬戶。

參考資料：

https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文