勒索軟件攻擊只會變得更糟Darkside的“退出”可能只是個策略
據外媒報導,近年來的勒索軟件攻擊證明了沒有一家公司是安全的。本月早些時候,一個名為DarkSide的黑客組織對Colonial Pipeline的商業網絡發起了勒索軟件攻擊,這次攻擊迫使該公司關閉了5500英里長的主管道,進而導緻美國17個州和華盛頓特區在上週出現了燃料短缺的情況。
據彭博社報導,Colonial支付了75個比特幣(支付當天約為500萬美元)的贖金,不過據這家公司給出的正式聲明卻有出入,其稱公司沒有任何支付的意圖。然而,這家總部位於喬治亞州的公司據稱在受到攻擊後數小時內就支付了這筆費用,其可能使用的是一份網絡保險保單。
當黑客收到這筆款項後就向Colonial提供了一種用於恢復其IT系統的解密工具。然而,這個過程非常緩慢,以至於該公司只能使用自己的備份來加速恢復。燃料運輸最終在周三晚恢復,但這一事件引發了政府的大規模反應,包括美總統喬·拜登簽署的加強美國網絡安全防禦的行政命令。
區塊鏈分析公司Elliptic指出,他們已經追踪到了DarkSide用於接收贖金的錢包。該公司發現,這個錢包自3月初以來一直處於活躍狀態,其從21個不同的錢包中收到了57筆付款,這些付款似乎跟過去兩個月已經支付的已知贖金相符。據悉,交易總額估計有1750萬美元,Elliptic還能追踪到DarkSide的資金流向。調查發現,該組織使用了幾個交易所以及一個在俄羅斯網絡罪犯中很流行的名為Hydra的暗網市場。
本週早些時候,DarkSide在暗網上發布了一份道歉聲明,其稱自己從未打算給社會帶來任何問題。現在,該組織聲稱已經失去了對其網絡服務器和相當一部分資金的控制。具體來說,這些服務器被一個不知名的實體佔領,該實體至少一個主賬號已被耗盡,該賬號曾被用來向發動攻擊的核心集團和關聯公司支付費用。
一些人猜測,這是美國當局在俄羅斯政府的幫助下迅速協調行動的結果,因為有人懷疑DarkSide是在俄羅斯運營的。然而,來自安全公司E MSI soft、FireEye和Intel 471的專家解釋說,這只是一個“退出騙局”,這是勒索軟件運營商用來隱藏踪跡和撤退的典型行為,他們可以使用不同的名字策劃下一步行動。
第二種解釋是最合理的,因為其他勒索軟件在媒體越來越多地關注它們最近的行動後也做出了類似的聲明。如REvil和Avaddon表示,他們將停止宣傳他們的勒索軟件即服務平台並“私有化”。此外,他們還計劃停止攻擊關鍵的基礎設施如醫療保健和教育機構、能源網絡、燃料管道及其他任何可能引起類似於Colonial Pipeline最近遭受來自DarkSide攻擊那樣的關注的東西。
實際上,Colonial並非是DarkSide攻擊的唯一一家公司–東芝也有周五發表的一份聲明中表示,其歐洲業務在5月4日遭到勒索軟件攻擊。該公司沒有支付贖金,因為由於該公司迅速採取行動、阻止了攻擊者在其網絡系統內橫向移動。據悉,被盜數據未包括敏感信息。
另外,愛爾蘭的醫療服務系統也遭受了一次“嚴重”和“複雜”的勒索軟件攻擊,這促使當地官員選擇關閉受影響的系統作為預防措施。幸運的是,該國的新冠疫苗接種項目沒有受到此次襲擊的直接影響,但由於醫院被迫離線工作,所有其他醫療服務都出現了嚴重中斷。
在德國,化學品分銷公司Brenntag向DarkSide支付了價值440萬美元的比特幣贖金以保護其670多個站點的運營和150G的敏感信息。本月早些時候,該公司的網絡遭到入侵,原因是憑證被盜及缺乏多因素認證的鬆散登錄安全。
勒索軟件即服務似乎是一門大生意,至少從Chainalysis的數據來看是這樣。該公司表示,勒索軟件攻擊去年激增,而且沒有放緩的跡象。2021年前幾個月,受害者支付了超8100萬美元的贖金,其中很大一部分流向了Darkside。
另一個有趣的發現是,在過去8年裡,勒索軟件運營商一直在通過主流交易所和加密貨幣交易所轉移他們的資金,後者基本上被用來掩蓋交易的源地址。這使得它對洗錢、詐騙和其他犯罪活動非常有吸引力。
上個月,美國當局逮捕了加密貨幣Bitcoin Fog運營人Roman Sterlingov。自2011年以來, Sterlingov涉嫌洗錢價值3.35億美元的比特幣。本週,美國司法部(DOJ)和美國國稅局(IRS)開始調查全球交易量最大的加密貨幣交易所Binance,但後者尚未受到任何不當行為的指控。
據了解,勒索軟件攻擊的主要問題是很難抓住對其負責的人,因為其中一些人居住在可以被稱為網絡犯罪安全港的國家。另一個問題是這些惡意行為者的高移動性,如果想要在勒索軟件攻擊的擴散方面有任何重大改變那麼則需要全球協同努力。聯合國已經向這個方向邁出了第一步,其建議各國簽署一套類似於“數字日內瓦公約”的規則,但目前看來這方面的工作進展甚微。