美国最大燃油渠道系统Colonial Pipeline在上周五(5/7)遭到勒索软件DarkSide的攻击,原本有媒体报道Colonial Pipeline无意支付赎金,但彭博社(Bloomberg)引述多名消息来源报道,Colonial Pipeline在意识到被攻击之后的几个小时之内,便已支付了接近500万美元的赎金。
根据报道,黑客在取得赎金之后就提供了解密工具,只是因为该解密工具速度太慢,使得Colonial Pipeline继续利用自己的备份来恢复系统。
安全企业Cybereason分析,DarkSide黑客集团一向采用双重勒索形式,一方面加密受害者的文件,另一方面也下载受害者的机密文件以迫使受害者付款,且DarkSide所要求的赎金范围通常介于20万美元到200万美元之间。若彭博社的报道为真,那么Colonial Pipeline很可能创下DarkSide的赎金记录。
另一方面,Colonial Pipeline肩负美国东岸45%的燃料供应,在遭到攻击的当下暂停了所有的渠道作业,使得美国燃油供应不足,油价更因此而上涨,让美国于周日(5/9)宣布进入紧急状态,破例让燃油企业通过一般道路运送燃油。
此外,Colonial Pipeline除了在上周日(5/9)开放部分小型支线的燃油运送之外,也在本周三(5/12)宣布恢复运行。尽管如此,由于Colonial Pipeline在美国配置的管线长达5,500里(8,851公里),所有的燃油输送还需要一段时间才能恢复正常,美国总统拜登(Joe Biden)则指出,Colonial Pipeline的燃油供给自本周末到下周将会依据区域逐渐恢复。
这意味着就算支付了赎金,取得了解密工具,Colonial Pipeline还是需要一周以上的时间来回到正常状态。
美国联邦调查局(FBI)并不鼓励勒索软件受害者支付赎金,以免助长黑客气焰并增加攻击企图,而没有任何美国官方机构愿意向彭博社证实Colonial Pipeline是否支付了赎金,多半采取“不给评论”的态度。不过,美国网络暨新兴科技副国家安全顾问Anne Neuberger向媒体透露,他们知道当企业的资料被加密且无法恢复的时候,通常会陷入困境。
Colonial Pipeline的受黑惊动了美国政府,拜登也在记者会上特别说明了此事,指出他们相信执行该攻击的黑客居住在俄罗斯,但不认为与俄罗斯政府有关,也已要求俄罗斯政府应该要采取行动来打击这些勒索软件集团。
美国国土安全部旗下的网络安全暨基础架构安全局(CISA)与FBI已公布了DarkSide的攻击细节,指出黑客通常是通过网络钓鱼取得系统的远程访问账号,再于受黑系统上注入勒索软件,也提出完整的建议,包括激活多因素认证、创建垃圾消息过滤机制、过滤网络流量、定期更新软件、限制特定资源的访问,以及部署杀毒软件等。