近日，安全研究人員發(fā)現(xiàn)，對美國東海岸主要輸油管道造成嚴(yán)重破壞的勒索軟件組織DarkSide很可能與攻擊過蘋果和特朗普的勒索軟件團(tuán)伙REvil有關(guān)。

　　DarkSide變體首次出現(xiàn)在2020年8月左右，但在運(yùn)營了幾個月后，DarkSide講俄語的所有者像當(dāng)今大多數(shù)勒索軟件組織一樣，向會員開放了它。

　　Flashpoint的研究人員近日宣稱，DarkSide的所有者很可能曾經(jīng)是REvil的會員。REvil是最近屢見報道的一個勒索軟件組織，該組織曾試圖勒索蘋果和OEM供應(yīng)商廣達(dá)電腦，是最成功的勒索軟件即服務(wù)之一。

　　安全研究人員還認(rèn)為，DarkSide本身是基于REvil代碼開發(fā)的。

　　“贖金通知、壁紙、文件加密擴(kuò)展名和詳細(xì)信息的設(shè)計以及內(nèi)部工作方式都與REvil勒索軟件非常相似，后者是俄羅斯血統(tǒng)，并具有廣泛的會員計劃。”Flashpoint聲稱。

　　FireEye的分析則指出，這兩個RaaS的運(yùn)作存在重疊，但僅是因為有些威脅組織是兩家的共同會員。

　　據(jù)報道，盡管其官方網(wǎng)站依然無法訪問，但Colonial Pipeline管道運(yùn)營商已在停運(yùn)五天后于周三恢復(fù)運(yùn)營，該公司聲稱在未來幾天內(nèi)仍有可能發(fā)生服務(wù)中斷。

　　停電迫使一些州宣布緊急狀態(tài)，因為大量美國汽車司機(jī)排隊加油，汽油價格飛漲。

　　調(diào)查人員目前仍在調(diào)查攻擊源頭，去年收購了網(wǎng)絡(luò)安全公司BinaryEdge的網(wǎng)絡(luò)保險提供商Coalition認(rèn)為它可能已經(jīng)找到了“冒煙的槍”。

　　該公司聲稱Colonial Pipeline在受到攻擊時正在運(yùn)行易受攻擊的Microsoft Exchange Server版本，遠(yuǎn)程掃描顯示，它同時也正在運(yùn)行公開的SNMP、NTP和DNS服務(wù)。

　　Coalition威脅情報負(fù)責(zé)人Jeremy Turner認(rèn)為：“其他可能性包括互聯(lián)網(wǎng)上暴露的眾多網(wǎng)絡(luò)協(xié)議，以及針對性的、與ICS系統(tǒng)有關(guān)的虛擬化軟件或SSL VPN訪問，使用的也是無效證書?！?/p>

　　“總體而言，Colonial Pipeline缺乏必要的安全防護(hù)意識。很容易受到攻擊的弱點包括：在其VPN上缺乏雙因素身份驗證（這是企業(yè)網(wǎng)絡(luò)安全中最常見的威脅之一），也可能是Exchange服務(wù)器泛攻擊的間接受害者?！?/p>

　　美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近日已發(fā)布勒索軟件攻擊防護(hù)的最佳實踐指南。