上周，美國最大成品油管道運(yùn)營商Colonial 被勒索軟件攻擊致使其被迫關(guān)閉所有輸油管道運(yùn)營一時(shí)間成為國內(nèi)外的焦點(diǎn)，引發(fā)了國內(nèi)外對于國家關(guān)鍵基礎(chǔ)設(shè)施的高度重視。

5 月 8日，據(jù)外媒紐約時(shí)報(bào)報(bào)道，美國最大成品油管道公司Colonial Pipeline被勒索軟件攻擊，為了避免造成更大影響，該公司已主動切斷部分系統(tǒng)網(wǎng)絡(luò)，暫停所有管道運(yùn)營。

目前，尚不清楚這一事件的幕后黑手是誰。路透社援引業(yè)內(nèi)人士稱，實(shí)施網(wǎng)絡(luò)攻擊的黑客很可能是專業(yè)的網(wǎng)絡(luò)犯罪團(tuán)伙。

美國政府9日宣布進(jìn)入緊急狀態(tài)，以解除針對燃料運(yùn)輸?shù)母鞣N限制，保障石油產(chǎn)品可以通過公路快速運(yùn)輸。

盡管目前還未證實(shí)美國最大燃油管道遭受何種勒索軟件攻擊，但從該公司的聲明中可以得知，此次導(dǎo)致美國最大燃油管道公司停擺的主要原因來自于勒索軟件的攻擊。

不過，據(jù)外媒 BBC 報(bào)道，根據(jù)多個(gè)消息來源證實(shí)，此次勒索軟件攻擊是一個(gè)名為 DarkSide 的勒索軟件 。消息稱該犯罪團(tuán)伙對目標(biāo)系統(tǒng)植入惡意軟件，以索要贖金，劫持了該公司近 100GB 的數(shù)據(jù)，聲稱如果不付款，將會把這些數(shù)據(jù)泄漏到互聯(lián)網(wǎng)上。

關(guān)于DarkSide勒索病毒團(tuán)伙，深信服早在 2020 年 9 月就對其進(jìn)行過跟蹤報(bào)道。（【流行威脅追蹤】深度分析DarkSide勒索軟件；【流行威脅追蹤】追蹤已財(cái)富自由的DarkSide勒索軟）

DarkSide勒索病毒團(tuán)伙是勒索軟件即服務(wù)（RaaS）的新銳代表之一，近年來，勒索團(tuán)伙犯罪活動增長迅速，而受害者往往不愿意冒著風(fēng)險(xiǎn)支付高額的贖金，這使得勒索病毒運(yùn)營團(tuán)伙也開始包裝自己“專業(yè)可靠”的形象。

與“散裝”勒索病毒不同的是，DarkSide勒索病毒團(tuán)伙攻擊目標(biāo)的針對性非常強(qiáng)，他們會對目標(biāo)進(jìn)行長達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作，甚至?xí)δ繕?biāo)進(jìn)行財(cái)務(wù)分析；該團(tuán)伙曾公開表示，他們不以醫(yī)院、學(xué)校等非營利組織作為攻擊目標(biāo)，而是針對有能力支付大額贖金的企業(yè)或機(jī)構(gòu)進(jìn)行攻擊。

此外，DarkSide勒索病毒跟其它勒索病毒不同的是，其加密后綴不是固定的，通常是8位隨機(jī)字符，且加密的文件類型包括以下后綴：

386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb

為了確保成功勒索用戶繳納贖金，在進(jìn)行加密前攻擊者會在目標(biāo)環(huán)境中進(jìn)行滲透并安裝后門程序以竊取重要的數(shù)據(jù)信息，當(dāng)勒索目標(biāo)拒絕繳納贖金時(shí)，會將數(shù)據(jù)公開作為威脅目標(biāo)的手段。

此前 4 月 23 日，DarkSide 勒索病毒團(tuán)伙就被曝出其在暗網(wǎng)門戶網(wǎng)站上放出消息，Darkside 將會提前告知那些邪惡/懷有不良動機(jī)的股票交易員，然后在網(wǎng)站上公布受害者公司之前將做空該公司的股票價(jià)格。

關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國計(jì)民生，是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。隨著經(jīng)濟(jì)社會對網(wǎng)絡(luò)的依賴程度不斷加深，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)更加緊迫。網(wǎng)絡(luò)空間軍事化、網(wǎng)絡(luò)武器平民化、網(wǎng)絡(luò)攻擊常態(tài)化的態(tài)勢日趨明顯，關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。

面對這樣的重大勒索軟件攻擊事件，也給國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)保護(hù)敲響了警鐘。這啟發(fā)我們不僅需要完善的關(guān)鍵信息基礎(chǔ)設(shè)施，更需要對關(guān)鍵信息基礎(chǔ)設(shè)施的安全給予實(shí)時(shí)全面的監(jiān)測保護(hù)。

深信服EDR產(chǎn)品基于勒索病毒攻擊鏈，從預(yù)防、防護(hù)、檢測與響應(yīng)整個(gè)生命周期進(jìn)行全面防護(hù)。

預(yù)防：通過安全基線檢查、漏洞檢測與修復(fù)等提前識別系統(tǒng)脆弱面，并封堵勒索病毒攻擊入口。

防護(hù)：開啟RDP爆破檢測、無文件防護(hù)、勒索誘餌防護(hù)以及遠(yuǎn)程登錄保護(hù)等安全策略，對勒索病毒的各種攻擊手段進(jìn)行針對性的對抗與防護(hù)。

檢測與響應(yīng)：通過 SAVE 人工智能引擎進(jìn)行文件實(shí)時(shí)檢測、全網(wǎng)威脅定位、網(wǎng)端云聯(lián)動等對勒索病毒進(jìn)行全網(wǎng)快速定位、處置與阻斷，阻止威脅爆破。

此外，深信服“人機(jī)共智”MSS安全運(yùn)營服務(wù)為用戶提供勒索病毒預(yù)防與響應(yīng)專項(xiàng)場景服務(wù)。服務(wù)專家基于安全運(yùn)營中心百余項(xiàng)勒索病毒Checklist，定期開展風(fēng)險(xiǎn)排查，并協(xié)助用戶加固；安全運(yùn)營中心 7*24H持續(xù)監(jiān)測確保第一時(shí)間發(fā)現(xiàn)勒索攻擊、感染、傳播行為，第一時(shí)間為用戶精準(zhǔn)預(yù)警，服務(wù)專家在線5分鐘響應(yīng)，高效閉環(huán)勒索病毒事件。

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

如果您對勒索病毒有進(jìn)一步的疑問，可以聯(lián)絡(luò)我們。