Colonial管道公司向DarkSide黑客组织支付数百万赎金

根据彭博社的报道，因勒索软件攻击而被迫关闭运营的Colonial Pipeline公司向黑客组织支付了近500万美元，以重新启动其燃料管道。

Colonial Pipeline公司经营着美国最大的汽油管道，在攻击发生后几个小时就用加密货币支付了赎金，这一点后来也得到了多家媒体的证实。勒索组织DarkSide被认为是这次黑客攻击的罪魁祸首，并被推到了国际聚光灯下。

2021年5月10日，联邦调查局宣布对Colonial管道的攻击是由DarkSide勒索软件变体引起的，这迫使该公司停止了管道的运作，以便Colonial能够对该事件进行全面调查。虽然一般人可能是第一次听到DarkSide的名字，但威胁情报公司英特尔471自去年首次向地下网络犯罪宣布其产品以来，一直在追踪与该黑客组织有关的人。

虽然早在2020年8月就被发现在野外，但DarkSide的开发者于2020年11月在流行的俄语黑客论坛XSS上 “首次亮相 “该勒索软件，宣传他正在寻找合作伙伴，试图采用联盟 “即服务 “模式。不久之后，该勒索软件被发现是众多攻击的幕后黑手，包括针对欧洲和美国的制造商和律师事务所的几起事件。

英特尔471分析出的一些攻击手法、技术和程序来自DarkSide家族，攻击方式存在相似性，首先通过利用Citrix、远程桌面网络（RDWeb）或远程桌面协议（RDP）等脆弱软件获得初始网络访问权限，进行横向移动并窃取敏感数据，最终部署勒索软件；或者在地下论坛上购买访问凭证，进行暴力破解，利用垃圾邮件活动传播恶意软件或购买流行的僵尸网络，如Dridex、TrickBot和ZLoader，利用PowerShell后门在企业网络中进行侦察和持久化，武器库通常包括Cobalt Strike和Metasploit框架、Mimikatz和BloodHound。

DarkSide组织没有宣布对Colonial Pipeline的攻击负责，也没有公开泄露属于该公司的任何数据。然而，在2021年5月10日，该组织发布了一份公告，暗示其可能参与了这次攻击。运营商在公告中承诺，他们将在未来引入 “节制”，仔细检查每个DarkSide附属公司想要加密的公司，”以避免未来的社会后果”。运营商还声称，该组织严格受金钱驱使，不隶属于任何政府机构。

这不是DarkSide运营商第一次试图为他们的行动进行公关宣传。10月，该组织在其博客上宣布，它将把收集到的部分赎金捐给国际儿童组织（致力于消除贫困的非营利性儿童赞助组织）和水项目（旨在向撒哈拉以南非洲国家提供清洁水的非营利组织）。

“我们认为，他们所支付的一些钱将用于慈善事业是公平的，”博客网站上的文章写道。”无论你认为我们的工作有多糟糕，我们很乐意知道我们帮助改变了某些人的生活。”

目前还不知道DarkSide是否在最初的捐款之外继续资助慈善机构。

勒索软件的普及和日益成熟与能源控制系统的老化相结合，是一个复杂的问题。随着黑客们通过勒索软件的运作成功，更多的网络犯罪分子可能会想加入这一行动，因为网络安全行业蓬勃发展，与其他犯罪（即针对银行账户）相比，回报更高。负责关键基础设施的公司必须明白，不安全的系统对地下网络犯罪分子来说是一个诱惑的勒索目标，而积极主动的防御措施将大大有助于防止未来发生类似Colonial Pipeline的事件。