由于美國最大的輸油管道商Colonial Pipeline上周末遭遇勒索軟件攻擊暫停運(yùn)營，美國運(yùn)輸部聯(lián)邦機(jī)動(dòng)車安全局（FMCSA）昨日發(fā)布《地區(qū)緊急狀態(tài)聲明》，臨時(shí)解除禁止燃料公路運(yùn)輸?shù)姆?，并允許油罐車駕駛員工作更長的時(shí)間。

　　該豁免適用于將汽油、柴油、噴氣發(fā)動(dòng)機(jī)燃料和其他精煉石油產(chǎn)品運(yùn)輸至阿拉巴馬州、阿肯色州、哥倫比亞特區(qū)、特拉華州、佛羅里達(dá)州、喬治亞州、肯塔基州、路易斯安那州、馬里蘭州、密西西比州、新澤西州、紐約州、北卡羅來納州、賓夕法尼亞州、南卡羅來納州、田納西州、德克薩斯州和弗吉尼亞州等十八個(gè)州的車輛。

　　01 緊急狀態(tài)聲明是“杯水車薪”

　　Colonial Pipeline的輸油管道每天運(yùn)送250萬桶石油，占東海岸柴油、汽油和噴氣發(fā)動(dòng)機(jī)燃料供應(yīng)量的45％。

　　除油罐車外，美國運(yùn)輸部發(fā)布的臨時(shí)赦免令還允許通過油輪將石油產(chǎn)品運(yùn)到紐約，但這遠(yuǎn)遠(yuǎn)不足以彌補(bǔ)輸油管道中斷損失的運(yùn)力，大量燃料現(xiàn)在被困在德克薩斯州的煉油廠。

　　獨(dú)立石油市場分析師高拉夫·夏爾馬（Gaurav Sharma）指出：“除非在星期二之前解決問題，否則他們將陷入大麻煩。首先受到打擊的地區(qū)將是亞特蘭大和田納西州，然后多米諾骨牌效應(yīng)會(huì)迅速傳遞到紐約。”

　　本周一，美國的燃油價(jià)格尚未受到勒索軟件攻擊事件影響，但專家指出，如果輸油管道中斷時(shí)間延長，勢必會(huì)影響到油價(jià)和期貨市場。

　　02 真兇浮出水面

　　波士頓安全公司Cybereason的首席執(zhí)行官Lior Div周一向路透社透露，攻擊Colonial Pipeline的勒索軟件團(tuán)伙是DarkSide：“它們非常新，但組織性很強(qiáng)?！盌iv透露，DarkSide的數(shù)據(jù)泄露網(wǎng)站上已經(jīng)有80多個(gè)未支付贖金的受害企業(yè)的數(shù)據(jù)被公開泄漏。

　　據(jù)悉，Darkside經(jīng)營著一個(gè)勒索軟件即服務(wù)業(yè)務(wù)，為其他網(wǎng)絡(luò)犯罪“會(huì)員”提供勒索軟件租用業(yè)務(wù)，而這些會(huì)員在成功實(shí)施勒索軟件攻擊后向DarkSide支付一定比例的收入。

　　安全牛查閱DarkTracer的最新勒索軟件統(tǒng)計(jì)，發(fā)現(xiàn)2020年DarkSide的攻擊數(shù)量位列TOP10行列（第九名，下圖）。

　　自2020年年中以來，Darside一直保持活躍，盡管該團(tuán)伙1月份曾宣布“金盆洗手”并發(fā)布了解密密鑰，但安全公司Cyber Reason指出，該組織的“隱退”只是掩人耳目的方法，最近又發(fā)布了DarkSide 2.0，其背后是一群非常資深的勒索軟件攻擊專家。

　　DarkSide還有一個(gè)非常高效的公關(guān)部門，經(jīng)常邀請(qǐng)記者檢查其泄漏的數(shù)據(jù)，并聲稱曾匿名向慈善機(jī)構(gòu)捐款。今年3月份，DarkSide發(fā)布了功能和“贏利”能力更強(qiáng)的新版勒索軟件，不但在線發(fā)布新聞稿還邀請(qǐng)媒體對(duì)其進(jìn)行采訪。

　　DarkSide的代碼看上去就是一個(gè)標(biāo)準(zhǔn)的勒索軟件，與許多勒索軟件類似，避免使用俄語、哈薩克語和烏克蘭語，讓自己看上去與前蘇聯(lián)加盟共和國沒有關(guān)系。

　　但是Digital Shadows的研究表明，DarkSide網(wǎng)絡(luò)犯罪團(tuán)伙可能位于講俄語的國家，因?yàn)樗苊饬斯羟疤K聯(lián)各共和國，包括俄羅斯、烏克蘭、白俄羅斯、格魯吉亞、亞美尼亞、摩爾多瓦、阿塞拜疆、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、土庫曼斯坦和烏茲別克斯坦。

　　Digital Shadows聯(lián)合創(chuàng)始人James Chappell認(rèn)為，DarkSide很可能是從遠(yuǎn)程訪問賬戶作為攻擊的切入點(diǎn)，并且很可能已經(jīng)購買了TeamViewer和微軟RDP等遠(yuǎn)程桌面軟件的泄漏賬戶。