Darkside - 資安趨勢部落格

應對洗劫數百萬美元的勒索病毒,企業的七個預防對策

2021 年 06 月 30 日2021 年 06 月 21 日趨勢科技 TrendMicro

聲譽良好、經營穩建、市值規模較大的,所謂藍籌企業(Blue-chip businesses )並非是近日唯一遭受勒索病毒重創的企業。其對業務連續性的威脅也可能對消費者造成連鎖反應，Colonial Pipeline的石油管道暫時關閉後出現的大量燃料囤積事件就證明了這一點；此外，當全球最大肉類生產商JBS的數家工廠停止生產以調查網路攻擊時，人們也都預期會出現肉類短缺。雖然兩者都迅速地恢復了營運，但並非全無代價。Colonial Pipeline一開始付給了DarkSide超過440 萬美元，其中有大部分可以在之後取回。而JBS則是決定支付REvil 1,100 萬美元以保護他們的客戶，即便他們已經自行恢復了大部分系統。本文裡概述了如何避免遭受網路犯罪份子洗劫的最佳實作和對策。

勒索病毒與大企業間的故事由來已久，眾所周知，惡意駭客會將目標放到財力雄厚的目標以求豐厚的回報：最近一連串針對企業的勒索病毒HYPERLINK “http://blog.trendmicro.com.tw/?p=12412” Ransomware (勒索軟體)攻擊突顯出網路勒索攻擊會如何造成大規模營運中斷並打亂全球的供應鏈。在今年五月，美國最大石油管道公司Colonial Pipeline被迫關閉部分系統以控制住網路犯罪集團DarkSide所造成的勒索病毒爆發 – 這次攻擊竊取了他們100 GB的資料。全球最大的牛肉供應商JBS也在幾週後遭遇REvil集團類似的攻擊，癱瘓了他們的電腦系統。

根據趨勢科技關於勒索病毒的最新報告，REvil和DarkSide都列在竊取和外洩網路資料量最大的勒索病毒榜單上，如圖1所示。

繼續閱讀

DarkSide 勒索病毒與美國輸油管攻擊事件(更新)

2021 年 05 月 21 日2021 年 05 月 20 日趨勢科技 TrendMicro

趨勢科技 Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本，並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。

本文已更新，增加了不少有關 DarkSide 受害者的參考資料。

5 月 7 日，一起勒索病毒攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。

自駭客攻擊造成 Colonial Pipeline 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。油品供應中斷已經開始影響車輛運輸，在亞特蘭大 (Atlanta) 都會區，30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是來自東歐的 DarkSide 駭客集團，該集團所用的勒索病毒是一個相對較新的家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。

除了將 Colonial Pipeline 的電腦系統鎖死之外， DarkSide 還竊取了超過 100 GB 的企業資料。這個竊取資料的動作反而更有殺傷力，該集團向來慣用雙重勒索的伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆。我們後面會提到，事實上 DarkSide 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

該集團在 5 月 12 日又公布了三家受害企業：一家位於蘇格蘭的建設公司、一家巴西再生能源產品經銷商公司，以及一家美國科技服務經銷商。DarkSide 集團宣稱總共從這三家公司竊取了 1.9 GB 的資料，包括：用戶資料、財務資料、員工護照、合約等機敏資訊。

由於 DarkSide 採用 RaaS 勒索病毒服務 (Ransomware-as-a-service) 的經營模式，所以這三起攻擊背後很可能是三個不同的駭客團體所為。就連 DarkSide 集團自己也承認他們只是購買了這些公司的網路存取權限，他們不曉得這些存取權限當初是如何取得。

繼續閱讀

Darkside 勒索病毒與美國輸油管攻擊事件

2021 年 05 月 15 日2021 年 05 月 14 日趨勢科技 TrendMicro

5 月 7 日，一起勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。自駭客攻擊造成 Colonial 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。

油品供應中斷已經開始影響車輛運輸，在亞特蘭大 (Atlanta) 都會區， 30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是 Darkside 駭客集團。Darkside 是一個相對較新的勒索病毒家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。根據彭博社 (Bloomberg) 的新聞指出，駭客集團除了將 Colonial 公司的電腦系統鎖死之外，還竊取了超過 100GB 的企業資料。這個駭客集團向來慣用這種雙重勒索伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆，如果受害者不乖乖付錢，他們就會公開偷來的資料。我們後面會提到，事實上 Darkside 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

Trend Micro Research 在網路上蒐集了數十個 Darkside 勒索病毒樣本，並研究了該勒索病毒的運作方式以及它所瞄準的目標。