上周，美國(guó)最大成品油管道運(yùn)營(yíng)商Colonial 被勒索軟件攻擊致使其被迫關(guān)閉所有輸油管道運(yùn)營(yíng)一時(shí)間成為國(guó)內(nèi)外的焦點(diǎn)，引發(fā)了國(guó)內(nèi)外對(duì)于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的高度重視。

5 月 8日，據(jù)外媒紐約時(shí)報(bào)報(bào)道，美國(guó)最大成品油管道公司Colonial Pipeline被勒索軟件攻擊，為了避免造成更大影響，該公司已主動(dòng)切斷部分系統(tǒng)網(wǎng)絡(luò)，暫停所有管道運(yùn)營(yíng)。

目前，尚不清楚這一事件的幕后黑手是誰(shuí)。路透社援引業(yè)內(nèi)人士稱，實(shí)施網(wǎng)絡(luò)攻擊的黑客很可能是專(zhuān)業(yè)的網(wǎng)絡(luò)犯罪團(tuán)伙。

美國(guó)政府9日宣布進(jìn)入緊急狀態(tài)，以解除針對(duì)燃料運(yùn)輸?shù)母鞣N限制，保障石油產(chǎn)品可以通過(guò)公路快速運(yùn)輸。

盡管目前還未證實(shí)美國(guó)最大燃油管道遭受何種勒索軟件攻擊，但從該公司的聲明中可以得知，此次導(dǎo)致美國(guó)最大燃油管道公司停擺的主要原因來(lái)自于勒索軟件的攻擊。

不過(guò)，據(jù)外媒 BBC 報(bào)道，根據(jù)多個(gè)消息來(lái)源證實(shí)，此次勒索軟件攻擊是一個(gè)名為 DarkSide 的勒索軟件 。消息稱該犯罪團(tuán)伙對(duì)目標(biāo)系統(tǒng)植入惡意軟件，以索要贖金，劫持了該公司近 100GB 的數(shù)據(jù)，聲稱如果不付款，將會(huì)把這些數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上。

關(guān)于DarkSide勒索病毒團(tuán)伙，深信服早在 2020 年 9 月就對(duì)其進(jìn)行過(guò)跟蹤報(bào)道。（【流行威脅追蹤】深度分析DarkSide勒索軟件；【流行威脅追蹤】追蹤已財(cái)富自由的DarkSide勒索軟）

DarkSide勒索病毒團(tuán)伙是勒索軟件即服務(wù)（RaaS）的新銳代表之一，近年來(lái)，勒索團(tuán)伙犯罪活動(dòng)增長(zhǎng)迅速，而受害者往往不愿意冒著風(fēng)險(xiǎn)支付高額的贖金，這使得勒索病毒運(yùn)營(yíng)團(tuán)伙也開(kāi)始包裝自己“專(zhuān)業(yè)可靠”的形象。

與“散裝”勒索病毒不同的是，DarkSide勒索病毒團(tuán)伙攻擊目標(biāo)的針對(duì)性非常強(qiáng)，他們會(huì)對(duì)目標(biāo)進(jìn)行長(zhǎng)達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作，甚至?xí)?duì)目標(biāo)進(jìn)行財(cái)務(wù)分析；該團(tuán)伙曾公開(kāi)表示，他們不以醫(yī)院、學(xué)校等非營(yíng)利組織作為攻擊目標(biāo)，而是針對(duì)有能力支付大額贖金的企業(yè)或機(jī)構(gòu)進(jìn)行攻擊。

此外，DarkSide勒索病毒跟其它勒索病毒不同的是，其加密后綴不是固定的，通常是8位隨機(jī)字符，且加密的文件類(lèi)型包括以下后綴：

386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb

為了確保成功勒索用戶繳納贖金，在進(jìn)行加密前攻擊者會(huì)在目標(biāo)環(huán)境中進(jìn)行滲透并安裝后門(mén)程序以竊取重要的數(shù)據(jù)信息，當(dāng)勒索目標(biāo)拒絕繳納贖金時(shí)，會(huì)將數(shù)據(jù)公開(kāi)作為威脅目標(biāo)的手段。

此前 4 月 23 日，DarkSide 勒索病毒團(tuán)伙就被曝出其在暗網(wǎng)門(mén)戶網(wǎng)站上放出消息，Darkside 將會(huì)提前告知那些邪惡/懷有不良動(dòng)機(jī)的股票交易員，然后在網(wǎng)站上公布受害者公司之前將做空該公司的股票價(jià)格。

關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國(guó)計(jì)民生，是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。隨著經(jīng)濟(jì)社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度不斷加深，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)更加緊迫。網(wǎng)絡(luò)空間軍事化、網(wǎng)絡(luò)武器平民化、網(wǎng)絡(luò)攻擊常態(tài)化的態(tài)勢(shì)日趨明顯，關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。

面對(duì)這樣的重大勒索軟件攻擊事件，也給國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)保護(hù)敲響了警鐘。這啟發(fā)我們不僅需要完善的關(guān)鍵信息基礎(chǔ)設(shè)施，更需要對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全給予實(shí)時(shí)全面的監(jiān)測(cè)保護(hù)。

深信服EDR產(chǎn)品基于勒索病毒攻擊鏈，從預(yù)防、防護(hù)、檢測(cè)與響應(yīng)整個(gè)生命周期進(jìn)行全面防護(hù)。

預(yù)防：通過(guò)安全基線檢查、漏洞檢測(cè)與修復(fù)等提前識(shí)別系統(tǒng)脆弱面，并封堵勒索病毒攻擊入口。

防護(hù)：開(kāi)啟RDP爆破檢測(cè)、無(wú)文件防護(hù)、勒索誘餌防護(hù)以及遠(yuǎn)程登錄保護(hù)等安全策略，對(duì)勒索病毒的各種攻擊手段進(jìn)行針對(duì)性的對(duì)抗與防護(hù)。

檢測(cè)與響應(yīng)：通過(guò) SAVE 人工智能引擎進(jìn)行文件實(shí)時(shí)檢測(cè)、全網(wǎng)威脅定位、網(wǎng)端云聯(lián)動(dòng)等對(duì)勒索病毒進(jìn)行全網(wǎng)快速定位、處置與阻斷，阻止威脅爆破。

此外，深信服“人機(jī)共智”MSS安全運(yùn)營(yíng)服務(wù)為用戶提供勒索病毒預(yù)防與響應(yīng)專(zhuān)項(xiàng)場(chǎng)景服務(wù)。服務(wù)專(zhuān)家基于安全運(yùn)營(yíng)中心百余項(xiàng)勒索病毒Checklist，定期開(kāi)展風(fēng)險(xiǎn)排查，并協(xié)助用戶加固；安全運(yùn)營(yíng)中心 7*24H持續(xù)監(jiān)測(cè)確保第一時(shí)間發(fā)現(xiàn)勒索攻擊、感染、傳播行為，第一時(shí)間為用戶精準(zhǔn)預(yù)警，服務(wù)專(zhuān)家在線5分鐘響應(yīng)，高效閉環(huán)勒索病毒事件。

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，注意日常防范措施：

如果您對(duì)勒索病毒有進(jìn)一步的疑問(wèn)，可以聯(lián)絡(luò)我們。