Colonial事件跟踪 | 美国追回了440万美元赎金的大部分

美国收回了大部分赎金

在司法部的新闻发布会上，美国司法部于当地时间6月7日宣布其没收了 DarkSide 勒索团伙所使用的一个加密货币钱包，其中包含了来自 Colonial Pipeline 的赎金。

FBI 特工表示，执法部门获得了一个属于 DarkSide 比特币钱包的私钥的控制权。使用此私钥，FBI 收回了 Colonial Pipeline 发送的大约 75 个比特币付款中的 63.7 个比特币。由于付款后比特币价格大幅下跌，按现在的价格计算，回收的比特币价值约为 226 万美元。

目前尚不清楚 FBI 获得 DarkSide 钱包私钥访问权限的具体方法，但在 5 月 14 日时，勒索软件团伙就曾声称无法访问他们的一台支付服务器。

前情回顾

彭博社报道，美国最大燃油管道公司 Colonial Pipeline 在5月7日就向Darkside支付了近 500 万美元赎金。这一消息与早些时候的报道称该公司无意支付赎金相矛盾。

人们认为Colonial 是在恢复管道运营的巨大压力下决定支付赎金。黑客在收到赎金之后提供了解密工具，但整个解密过程非常缓慢，Colonial 因此继续使用备份恢复系统。Colonial 在美国时间5月12日宣布恢复运营，但同时表示整个燃油供应链恢复正常还需要数天时间。

500 万美元赎金对于 Colonial 这样大的公司而言是非常低的，勒索软件团伙可能也意识到他们的目标相当棘手，可能会引发政府的强烈反应。美国政府通常反对支付赎金，因为这会激励攻击者去寻找下一个勒索目标。

FBI和CISA发布联合警报

在Colonial Pipeline遭受毁灭性的勒索软件攻击后，联邦调查局和网络安全和基础设施安全局（CISA）发布了一份联合警报。该警报于当地时间5月11日发布，包含了关于DarkSide的一些背景信息。

警报称，"网络犯罪团伙利用DarkSide进入受害者的网络，对数据进行加密和泄露，然后这些团伙威胁说，如果受害者不支付赎金，就会暴露数据。DarkSide团伙最近一直在对不同组织下手，包括制造业、法律、保险、医疗保健和能源部门。"

DarkSide的勒索软件针对RaaS（也称为勒索软件联盟计划）客户。这种网络网络犯罪的方法现在相当流行，因为只需要一个核心团队来开发恶意软件，RaaS可以通过订阅的方式向犯罪分子提供勒索软件。另外，当支付赎金时，创作者会收到一部分利润。作为交换，开发人员不断改进他们的恶意软件产品。

DarkSide甚至还为自己打造一个罗宾汉一般的人设，其攻击目标不针对医疗、护理院或治疗提供者，甚至还为其捐款。

Exchange漏洞成为他们被勒索团伙“光顾”的原因

援引《纽约时报》记者 Nicole Perlroth 报道，成品油管道公司 Colonial Pipeline 的初期调查结果标明，该公司 IT 基础设施内“最可能的罪魁祸首”就是尚未修复的微软 Exchange 服务。

Nicole Perlroth 在推文中指出，关于 Colonial Pipeline 的取证发现，他们仍在使用存在漏洞的微软 Exchange 版本。

Colonial遭勒索，十八个州紧急放宽限制

5月10日，DarkSide勒索软件团伙发表了一份新闻声明，称他们的组织是 "非政治性的"，与任何政府没有关系。同时，他们表示不要将他们与任何一个政府联系起来，他们的目标只是赚钱而已，不是为了某些社会问题。
此外，该团伙还表示从5月10日起，他们将在攻击前检查被攻击对象，以避免造成某些社会后果。