近日，安全研究人員發(fā)現(xiàn)，對(duì)美國(guó)東海岸主要輸油管道造成嚴(yán)重破壞的勒索軟件組織DarkSide很可能與攻擊過(guò)蘋(píng)果和特朗普的勒索軟件團(tuán)伙REvil有關(guān)。

　　DarkSide變體首次出現(xiàn)在2020年8月左右，但在運(yùn)營(yíng)了幾個(gè)月后，DarkSide講俄語(yǔ)的所有者像當(dāng)今大多數(shù)勒索軟件組織一樣，向會(huì)員開(kāi)放了它。

　　Flashpoint的研究人員近日宣稱，DarkSide的所有者很可能曾經(jīng)是REvil的會(huì)員。REvil是最近屢見(jiàn)報(bào)道的一個(gè)勒索軟件組織，該組織曾試圖勒索蘋(píng)果和OEM供應(yīng)商廣達(dá)電腦，是最成功的勒索軟件即服務(wù)之一。

　　安全研究人員還認(rèn)為，DarkSide本身是基于REvil代碼開(kāi)發(fā)的。

　　“贖金通知、壁紙、文件加密擴(kuò)展名和詳細(xì)信息的設(shè)計(jì)以及內(nèi)部工作方式都與REvil勒索軟件非常相似，后者是俄羅斯血統(tǒng)，并具有廣泛的會(huì)員計(jì)劃。”Flashpoint聲稱。

　　FireEye的分析則指出，這兩個(gè)RaaS的運(yùn)作存在重疊，但僅是因?yàn)橛行┩{組織是兩家的共同會(huì)員。

　　據(jù)報(bào)道，盡管其官方網(wǎng)站依然無(wú)法訪問(wèn)，但Colonial Pipeline管道運(yùn)營(yíng)商已在停運(yùn)五天后于周三恢復(fù)運(yùn)營(yíng)，該公司聲稱在未來(lái)幾天內(nèi)仍有可能發(fā)生服務(wù)中斷。

　　停電迫使一些州宣布緊急狀態(tài)，因?yàn)榇罅棵绹?guó)汽車司機(jī)排隊(duì)加油，汽油價(jià)格飛漲。

　　調(diào)查人員目前仍在調(diào)查攻擊源頭，去年收購(gòu)了網(wǎng)絡(luò)安全公司BinaryEdge的網(wǎng)絡(luò)保險(xiǎn)提供商Coalition認(rèn)為它可能已經(jīng)找到了“冒煙的槍”。

　　該公司聲稱Colonial Pipeline在受到攻擊時(shí)正在運(yùn)行易受攻擊的Microsoft Exchange Server版本，遠(yuǎn)程掃描顯示，它同時(shí)也正在運(yùn)行公開(kāi)的SNMP、NTP和DNS服務(wù)。

　　Coalition威脅情報(bào)負(fù)責(zé)人Jeremy Turner認(rèn)為：“其他可能性包括互聯(lián)網(wǎng)上暴露的眾多網(wǎng)絡(luò)協(xié)議，以及針對(duì)性的、與ICS系統(tǒng)有關(guān)的虛擬化軟件或SSL VPN訪問(wèn)，使用的也是無(wú)效證書(shū)。”

　　“總體而言，Colonial Pipeline缺乏必要的安全防護(hù)意識(shí)。很容易受到攻擊的弱點(diǎn)包括：在其VPN上缺乏雙因素身份驗(yàn)證（這是企業(yè)網(wǎng)絡(luò)安全中最常見(jiàn)的威脅之一），也可能是Exchange服務(wù)器泛攻擊的間接受害者。”

　　美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近日已發(fā)布勒索軟件攻擊防護(hù)的最佳實(shí)踐指南。