破坏美国输油管道的勒索软件组织DarkSide与REvil有染

近日，安全研究人员发现，对美国东海岸主要输油管道造成严重破坏的勒索软件组织DarkSide很可能与攻击过苹果和特朗普的勒索软件团伙REvil有关。

DarkSide变体首次出现在2020年8月左右，但在运营了几个月后，DarkSide讲俄语的所有者像当今大多数勒索软件组织一样，向会员开放了它。

Flashpoint的研究人员近日宣称，DarkSide的所有者很可能曾经是REvil的会员。REvil是最近屡见报道的一个勒索软件组织，该组织曾试图勒索苹果和OEM供应商广达电脑，是最成功的勒索软件即服务之一。

安全研究人员还认为，DarkSide本身是基于REvil代码开发的。

“赎金通知、壁纸、文件加密扩展名和详细信息的设计以及内部工作方式都与REvil勒索软件非常相似，后者是俄罗斯血统，并具有广泛的会员计划。”Flashpoint声称。

FireEye的分析则指出，这两个RaaS的运作存在重叠，但仅是因为有些威胁组织是两家的共同会员。

据报道，尽管其官方网站依然无法访问，但Colonial Pipeline管道运营商已在停运五天后于周三恢复运营，该公司声称在未来几天内仍有可能发生服务中断。

停电迫使一些州宣布紧急状态，因为大量美国汽车司机排队加油，汽油价格飞涨。

调查人员目前仍在调查攻击源头，去年收购了网络安全公司BinaryEdge的网络保险提供商Coalition认为它可能已经找到了“冒烟的枪”。

该公司声称Colonial Pipeline在受到攻击时正在运行易受攻击的Microsoft Exchange Server版本，远程扫描显示，它同时也正在运行公开的SNMP、NTP和DNS服务。

Coalition威胁情报负责人Jeremy Turner认为：“其他可能性包括互联网上暴露的众多网络协议，以及针对性的、与ICS系统有关的虚拟化软件或SSL VPN访问，使用的也是无效证书。”

“总体而言，Colonial Pipeline缺乏必要的安全防护意识。很容易受到攻击的弱点包括：在其VPN上缺乏双因素身份验证（这是企业网络安全中最常见的威胁之一），也可能是Exchange服务器泛攻击的间接受害者。”

美国网络安全和基础设施安全局（CISA）近日已发布勒索软件攻击防护的最佳实践指南。

参考资料

https://www.flashpoint-intel.com/blog/darkside-ransomware-links-to-revil-difficult-to-dismiss/

https://us-cert.cisa.gov/ncas/alerts/aa21-131a

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。