原标题:什么操作?美国进入国家紧急状态,黑客导演了怎样的“勒索攻击”
当地时间5月9日,美国宣布进入国家紧急状态,原因是美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭了美国东部沿海各州供油的关键燃油网络。
新京报贝壳财经记者发现,该公司发布公开声明称:“作为应对,我们主动切断某些系统的网络连接以遏制威胁,这使得所有的管道运输临时暂停,也影响了我们的一些IT系统。”
据了解,Colonial Pipeline是美国最大的成品油管道运营商,对于此次事件,白宫发言人称,拜登总统在上周六早上获悉此事,联邦政府正在积极评估影响,避免供应中断,帮助这一公司恢复运营。
5月10日,高盛发文称,该公司并没有受到实质性损害,因为东海岸地区PADD1炼厂库存充足,且该地区季节性汽油进口量高于同期水平,只有长时间的管道关闭(可能超过5天),当地供应才会严重吃紧。
不过,文章称“此次软件攻击显示出,全球能源基础设施在日益频繁的攻击面前的脆弱性。尽管仍然低迷的需求和高于平均水平的库存,可能会在短期内限制此类事件对消费者造成影响,一旦今年晚些时候全球能源库存跌破平均水平,攻击造成的破坏性可能会大得多。届时或导致价格大幅上涨。”
是谁攻击了美国最大的成品油管道运营商?
根据外媒报道,知情人士透露,该攻击由DarkSide勒索团伙发起,该组织于上周四仅在两个小时内,就从位于佐治亚州阿尔法利塔的Colonial公司网络中窃取了近100 GB数据。
“该网络犯罪团伙会使用扫描工具来寻找目标网络中的漏洞(通常是已知漏洞),从而获取初始访问权限。当获取文件服务器的权限后,该组织会将目标的数据进行手动上传,随后加密目标公司的文件,并将部分信息上传至其暗网博客,声称若不交付赎金,就公布目标公司的敏感数据。”奇安信反病毒专家告诉新京报贝壳财经记者。
根据奇安信对DarkSide团伙的长期跟踪,该组织使用的勒索软件除了会进行常规的加密文件操作外,还会连接并发送受害者信息到攻击者的命令控制服务器(C2),这可能是攻击者记录受害者具体信息的一种方法,方便在日后作为入侵证据。
值得关注的是,DarkSide组织在2021年1月份一笔勒索病毒的交易中便获得45个比特币,约合人民币1700多万元。对此,奇安信反病毒专家判断,面对如此巨额收益,未来针对组织的定向勒索攻击会愈加猖狂,针对目标公司体量也会越来越大。
据了解,此次攻击属于常见的“勒索攻击”。根据Group-IB研究人员报告,仅在过去一年,全球“勒索攻击”次数就增长150%以上。今年3月,电脑巨头宏碁遭到“勒索攻击”,黑客开出了迄今为止最高数额的赎金,约合人民币3.25亿元。
奇安信威胁情报中心建议,用户需要及时做好漏洞修复、采用高强度密码、定期备份重要资料、关闭不必要的网络端口和不必要的文件共享、访问权限控制、安装专业杀毒软件并及时更新等基础工作,就能防范绝大多数的勒索攻击。“面对愈加强大的定向勒索攻击者,我们对网络安全防御需要提升整体的防护水平,要以面对APT组织攻击的策略进行防御体系建设,才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索攻击。”
“美国多州因网络攻击宣布进入紧急状态,再次说明网络安全不是加强某个环节就能解决的,需要提升整体的防护水平,建立完整的网络安全体系。”奇安信集团董事长齐向东告诉记者。
新京报贝壳财经记者罗亦丹
