趨勢科技 Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本，並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。 

本文已更新，增加了不少有關 DarkSide 受害者的參考資料。

5 月 7 日，一起勒索病毒攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA)  在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。

自駭客攻擊造成 Colonial Pipeline 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。油品供應中斷已經開始影響車輛運輸，在 亞特蘭大 (Atlanta) 都會區，30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。 

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是來自東歐的 DarkSide 駭客集團，該集團所用的勒索病毒是一個相對較新的家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。

除了將 Colonial Pipeline 的電腦系統鎖死之外， DarkSide 還竊取了超過 100 GB 的企業資料。這個竊取資料的動作反而更有殺傷力，該集團向來慣用雙重勒索的伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆。我們後面會提到，事實上 DarkSide 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

該集團在 5 月 12 日又公布了三家受害企業：一家位於蘇格蘭的建設公司、一家巴西再生能源產品經銷商公司，以及一家美國科技服務經銷商。DarkSide 集團宣稱總共從這三家公司竊取了 1.9 GB 的資料，包括：用戶資料、財務資料、員工護照、合約等機敏資訊。   

由於 DarkSide 採用 RaaS 勒索病毒服務 (Ransomware-as-a-service) 的經營模式，所以這三起攻擊背後很可能是三個不同的駭客團體所為。就連 DarkSide 集團自己也 承認他們只是購買了這些公司的網路存取權限 ，他們不曉得這些存取權限當初是如何取得。

繼續閱讀