勒索软件DarkSide攻击迫使美国最大燃料管道关闭

勒索软件DarkSide攻击迫使美国最大燃料管道关闭

美国最大的天然气管道之一遭到勒索软件攻击,即殖民地管道的大规模攻击,导致其于周五被关闭。联邦调查局(FBI),能源部和白宫都在积极解决这一问题,并在殖民地管道委员会周五宣布已关闭东海岸的5500英里管道之后,评估损失情况。

该公司负责运输东海岸使用的45%的燃料,该公司表示其公司计算机网络已被破坏,勒索软件攻击者将其劫持为人质。

勒索软件DarkSide攻击迫使美国最大燃料管道关闭
燃料管道公司被勒索的截图

据报道,Colonial已经雇用了一家网络安全公司FireEye,据称该公司的事件响应部门正在协助调查。 

关于DarkSide勒索软件团伙

勒索软件分析得出的结论是,这是一种称为DarkSide的新病毒,勒索软件攻击背后的运营商最近也在2021年3月改用了会员计划。 

该计划旨在招募威胁参与者,通过破坏公司网络受害者来传播恶意软件,而核心开发人员则负责维护恶意软件和支付基础架构。 

勒索软件DarkSide攻击迫使美国最大燃料管道关闭
darkside在twitter发布的会员计划
勒索软件DarkSide攻击迫使美国最大燃料管道关闭

DarkSide于2020年8月开始运营,迄今已发布了80多个受害者的失窃数据。目前尚不清楚攻击者要求多少钱,或者殖民地管道是否已支付。彭博社的另一份报告称,攻击背后的网络犯罪分子从其网络中窃取了100GB的数据。

该勒索软件团伙网站上写道:

根据我们的原则,我们不会攻击以下目标:

  • 药品(仅限:医院,治疗机构,疗养院,开发并(很大程度上)参与分发COVID-19疫苗的公司)。
  • 服务(Morgues,火葬场,殡仪馆)。
  • 教育(学校,大学)。
  • 非营利组织。
  • 政府部门。
勒索软件DarkSide攻击迫使美国最大燃料管道关闭

DarkSide勒索软件团伙网站截图

被darkside攻击的企业列表[大约有82家]

勒索软件DarkSide攻击迫使美国最大燃料管道关闭
勒索软件DarkSide攻击迫使美国最大燃料管道关闭

被勒索的企业在规定时间内没有支付赎金,数据被公开下载.

勒索软件DarkSide攻击迫使美国最大燃料管道关闭

调查详情

网络安全研究人员认为,DarkSide主要在俄罗斯开展业务,美国官员和网络安全专家指责俄罗斯藏有网络犯罪分子。专家说,这些罪犯避免将目标对准俄罗斯的受害者。

值得注意的是,DarkSide的官方泄漏网站上没有关于袭击殖民地管道的任何信息。该网站上的最后一篇文章发布于2021年4月23日,大约价值700 GB的所谓的Smile Brands Inc数据。

去年,CISA警告管道运营商有关勒索软件的威胁。CISA响应了对天然气压缩设施的勒索软件攻击,攻击者在该设施中获得了对公司网络的访问权限,然后转至可操作的网络,并在此使用各种设备对其进行了加密。结果,该公司关闭了大约两天的运营,CISA说。

2020年2月,CISA发出警告,警告说勒索软件感染增加,影响了该国一家未命名的天然气压缩设施的袭击,导致该公司关闭了约两天的管道资产,从而影响了管道运营。

勒索软件DarkSide攻击迫使美国最大燃料管道关闭
管道公司:我不听我不听我不听

保护管道基础设施一直是国土安全部关注的领域,国土安全部于2018年指派CISA监督所谓的管道网络安全计划(PCI),该计划旨在识别和应对新兴威胁并实施安全措施以保护270万以上的人数英里长的管道,负责在美国运输石油和天然气

该机构的国家风险管理中心(NRMC)还在2021年2月发布了管道网络安全资源库,以“为管道设施,公司和利益相关者提供一套免费的自愿资源,以加强其网络安全状况。

网络安全专家的评论

aeCyber​​Solutions副总裁John Cusimano表示:“根据我们公司在为该国几家最大的管道运营商评估石油和天然气管道方面的丰富经验,我们发现管道网络安全性远远落后于其他网络管道安全性能源部门(上游和下游的O&G和电力公司)。”

“管道行业的一个共同缺陷是缺乏分段 的管道监督控制和数据采集(SCADA)网络,这些网络将管道控制中心连接到每个终端,泵站,远程隔离阀和沿线的油库管道。这些都是非常大的网络,可以覆盖很远的距离,但是从网络分段的角度来看,它们通常是“平坦的”

“这意味着一旦有人获得了对SCADA网络的访问权限,他们就可以访问网络上的每台设备。尽管管道SCADA网络通常与具有防火墙的公司业务(IT)网络分开,但根据设计,这些防火墙会在网络之间传递一些数据。”

“例如, 可以允许通过防火墙的网络监视软件(例如Solarwinds)来监视SCADA网络。这些通过防火墙的允许路径是单向恶意软件,或者黑客可以从IT网络迁移到SCADA网络。当我得知太阳风袭击时,这是我最担心的问题之一。”库西马诺先生解释说。

“确保管道SCADA网络安全的另一个重大挑战是,它们会沿数百英里的管道分支到每个设施。其中一些设施位于非常偏远的地方,几乎没有物理安全性,这意味着,如果攻击者破坏了其中一种设施的安全性,他们就可以访问网络。”

最后,SCADA网络依赖于无线通信(例如微波,卫星和蜂窝)的广泛使用。Cusimano先生警告说,违反无线信号或从远程站点窃取蜂窝调制解调器可能会使攻击者访问整个SCADA网络

Ava Security首席产品和开发官Ran Pugach说,  “针对Colonial Pipeline的事件突显出勒索软件对关键的国家工业基础设施以及这些攻击可能给社会带来的物理后果的风险越来越大。” 

“特别是在90%以上的人为错误攻击中,根据英国信息专员办公室的说法,确保重要的国家基础架构免受社会工程攻击是至关重要的。当佛罗里达水处理设施通过TeamViewer被黑客入侵时,我们已经看到了类似的攻击 ” Pugach先生说。

“为了防止此类勒索软件攻击,组织需要采用围绕用户构建的新方法,因为远程工作的兴起使我们比以往任何时候都更具开放性。黑客是社会工程学的专家,他们将尽其所能利用各种信息来利用多个切入点或途径来实现其目标。这可以通过恶意电子邮件或可疑网站来实现,” Pugach先生警告说

“勒索软件保护的预防方法利用了用户教育和网络意识。安装端点检测和响应工具是一个很好的第一步。这些解决方案不仅有助于挽救局势,而且能够调查和了解漏洞在哪里以及将来如何预防漏洞,这是必不可少的。尽管如此,它们必须辅之以进一步的保障措施,以捕获异常,理解并纠正用户行为, ” Pugach先生总结道。

One comment

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注