近日,安全研究人员发现,对美国东海岸主要输油管道造成严重破坏的勒索软件组织DarkSide很可能与攻击过苹果和特朗普的勒索软件团伙REvil有关。
DarkSide变体首次出现在2020年8月左右,但在运营了几个月后,DarkSide讲俄语的所有者像当今大多数勒索软件组织一样,向会员开放了它。
Flashpoint的研究人员近日宣称,DarkSide的所有者很可能曾经是REvil的会员。REvil是最近屡见报道的一个勒索软件组织,该组织曾试图勒索苹果和OEM供应商广达电脑,是最成功的勒索软件即服务之一。
安全研究人员还认为,DarkSide本身是基于REvil代码开发的。
“赎金通知、壁纸、文件加密扩展名和详细信息的设计以及内部工作方式都与REvil勒索软件非常相似,后者是俄罗斯血统,并具有广泛的会员计划。”Flashpoint声称。
FireEye的分析则指出,这两个RaaS的运作存在重叠,但仅是因为有些威胁组织是两家的共同会员。
据报道,尽管其官方网站依然无法访问,但Colonial Pipeline管道运营商已在停运五天后于周三恢复运营,该公司声称在未来几天内仍有可能发生服务中断。
停电迫使一些州宣布紧急状态,因为大量美国汽车司机排队加油,汽油价格飞涨。
调查人员目前仍在调查攻击源头,去年收购了网络安全公司BinaryEdge的网络保险提供商Coalition认为它可能已经找到了“冒烟的枪”。
该公司声称Colonial Pipeline在受到攻击时正在运行易受攻击的Microsoft Exchange Server版本,远程扫描显示,它同时也正在运行公开的SNMP、NTP和DNS服务。
Coalition威胁情报负责人Jeremy Turner认为:“其他可能性包括互联网上暴露的众多网络协议,以及针对性的、与ICS系统有关的虚拟化软件或SSL VPN访问,使用的也是无效证书。”
“总体而言,Colonial Pipeline缺乏必要的安全防护意识。很容易受到攻击的弱点包括:在其VPN上缺乏双因素身份验证(这是企业网络安全中最常见的威胁之一),也可能是Exchange服务器泛攻击的间接受害者。”
美国网络安全和基础设施安全局(CISA)近日已发布勒索软件攻击防护的最佳实践指南。
参考资料
https://www.flashpoint-intel.com/blog/darkside-ransomware-links-to-revil-difficult-to-dismiss/
https://us-cert.cisa.gov/ncas/alerts/aa21-131a
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。