最近,安全研究人员发现,对美国东海岸主要输油管道造成严重破坏的勒索软件组织DarkSide很可能与针对苹果的勒索软件攻击有关和特朗普。软件帮派REvil是相关的。DarkSide变种于2020年8月左右首次出现,但经过几个月的运作,DarkSide的俄语所有者向成员开放了它,就像今天大多数勒索软件组织所做的那样。Flashpoint研究人员最近声称DarkSide的所有者很可能是REvil的前成员。REvil是最近报道的一个勒索软件组织,它试图勒索苹果和OEM供应商广达电脑,是最成功的勒索软件即服务之一。安全研究人员还认为,DarkSide本身就是基于REvil代码开发的。Flashpoint声称:“赎金票据、墙纸、文件加密扩展和细节的设计和内部运作都非常类似于REvil勒索软件,它起源于俄罗斯并拥有广泛的会员计划。”FireEye的分析指出,这两种RaaS操作存在重叠,但这只是因为一些威胁组织是两者的联合成员。据报道,ColonialPipeline运营商在中断五天后于周三恢复运营,尽管其官方网站仍然无法访问,该公司声称未来几天仍有可能出现服务中断。由于大量美国驾车者排队加油,汽油价格飙升,停电迫使一些州宣布进入紧急状态。调查人员仍在调查攻击的来源,去年收购了网络安全公司BinaryEdge的网络保险提供商Coalition认为它可能已经找到了“确凿证据”。该公司声称,在攻击发生时,ColonialPipeline正在运行易受攻击的MicrosoftExchangeServer版本,远程扫描显示它也在运行暴露的SNMP、NTP和DNS服务。“其他可能性包括暴露在互联网上的众多网络协议,以及与ICS系统相关的有针对性的虚拟化软件或SSL虚拟专用网络访问,也使用无效证书,”Coalition威胁情报负责人JeremyTurner说。总体而言,ColonialPipeline缺乏必要的安全防护意识。易受攻击的漏洞包括其虚拟专用网络缺乏双因素身份验证(企业网络安全中最常见的威胁之一),以及Exchange服务器可能受到广泛攻击的间接受害者。》美国网络安全与基础设施安全局(CISA)近日发布勒索软件攻击防护最佳实践指南。【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信♂id):gooann-sectv)获取授权】戳这里看作者更多好文
