他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

PeckShield view 2966 2021-5-21 18:22
share to
Scan QR code with WeChat

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

2021 年 5 月 10 日, 美国拜登政府宣布进入紧急状态。起因是美国最大的燃油管道被一个不太起眼的勒索软件攻击,这个勒索软件叫做 DarkSide,翻译过来大概就是「阴暗面」。

Colonial Pipeline 是美国最大的成品油管道运营商,每天通过管道系统输送超过 1 亿加仑的燃料,该管道系统连接得克萨斯州休斯顿和新泽西州林登,跨度长达 5,500 多英里,美国东海岸 45% 的燃料都由该管道系统提供,受此事件影响,此次燃油管道关闭导致油价攀升 1%。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

据 PeckShield「派盾」统计显示,自 2020 年 8 月起,DarkSide 开始小试牛刀,并在今年 2 月加速勒索攻击,攻击频率达到峰值。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

谁也没想到这个尚未跻身 Top 10 的勒索软件,会在半年后成为令美国谈之色变的「黑暗面」。

受害者中招后,除了大量文件被加密无法打开,还会收到一封勒索信,信里清清楚楚地写着“很不幸,你被黑了,不要惊慌,只需要按照提示走一遍支付流程就能恢复正常。”

在赎金支付方式上,DarkSide 除了提供比特币支付地址,还提供难以追溯的隐私币「门罗币」。赎金范围一般从 20 万美元至 300 万美元,折合人民币 140 万至 2,100 万元不等,Colonial Pipeline 事件应该是迄今为止 DarkSide 捞到的最大一笔:500 万美元(折合人民币 3,500万元)。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

事实上,5 月初,DarkSide 已经成功勒索化学品分销巨头 Brenntag 北美分部,并得手 78.29 BTC,价值 440 万美元。

有意思的是,交赎金页面,DarkSide 设置了一个追踪页面,不仅让你知道他们时时洞悉你有没有在有效期内交付赎金,还让你清楚地看到你的转账哈希、金额、时间和状态。

他们还会留给你一个倒计时— 8 小时,超过 8 小时仍未支付赎金,赎金就会翻一番,例如从 3,000 万美元变成 6,000 万美元,到期程序会自动翻倍赎金金额,没有商量的余地。

DarkSide 的运营方式就好似微商一样,通过发展代理商、下线来实施勒索,他们把作案工具和方法提供给下家,然后从下游勒索犯那里抽成获利。DarkSide 明文规定如果赎金金额少于 50 万美元,他们会抽成 25%,即大约 12 万美元;当赎金要求大于 500 万美元时,抽成减少至 10% 左右,即大约 50 万美元。

这一点从 PeckShield「派盾」旗下的反洗钱反欺诈系统 CoinHolmes 也可以看出,北京时间 5 月 9 日 Colonial Pipeline 交付赎金 75 BTC 后,这 75 BTC 被分别转至开头为 bc1qxu 和开头为 bc1qu5 的两个钱包地址,赎金占比分别大约为 84% 和 16%。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

这种运营方式在勒索产业链被称为「勒索即服务(RaaS)」,就是把勒索做成一种服务,通过这种方式,迅速扩张,吸纳一大批下家替自己打家劫舍,输入资金,而自己则抽身到幕后做「幕后玩家」,在后方为“弟兄们”输送武器弹药和出谋划策。

近几年,勒索团队凭借这种模式走出了一套完备的商业模式,PeckShield「派盾」在《2020 年反洗钱报告》中披露,勒索攻击和虚拟货币结合,利⽤虚拟货币收款后攻击收益率⼤幅提升。据数据显示,2020 年全年勒索软件 REvil 依靠 RaaS 净赚 1 亿美元。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

从 2020 年 8 月到今年 5 月,不到一年的时间,「阴暗面勒索家族」就已经成型,并在导致 Colonial Pipeline 瘫痪后一炮而红,名利双收。

尽管「阴暗面」在全球作恶,但他们却说“自己是有原则的侠盗”。不仅在首页写明自己的原则:不攻击医药、教育、政府、非营利组织等机构,而且曾于 2020 年 10 月把勒索所得的共计 1.76 比特币(价值 2.24 万美元)分两笔捐给了 Children International 和 Water Project 两家慈善机构。

他们黑了美国最大的输油管道 Colonial Pipeline 还说盗亦有道

但他们可能忘了,由于输油管道被切断,此时有成千上万的人因为他们的勒索而身处水深火热之中。

事情有了一些转折,在收到赎金后不久,DarkSide 或因扛不住社会各界的高度关注,突然宣布解散。

事实上,正义的一方从未松懈,虽然抓到人很难,但大家已经开始着手于追踪比特币等勒索资金的路径,来减轻此类危害,并且试图通过人物画像来定位这群攻击者。

PeckShield「派盾」的反欺诈专家表示:“由于链上数据的可追溯性,可一定程度还原链上非法交易原委,为辅助警方定位勒索团伙的工作提供有效信息。但定位到虚拟货币交易地址不一定能定位到人,打击勒索软件需要多种技术⼿段结合。一来,他们擅长用‘跳板服务器’来伪装自己;二来,勒索攻击者可能分布在任何一个国家或地区,需要全球联合⾏动。”

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: 摩根大通:机构投资者或正抛售比特币以转向黄金 Next: 闪兑致BOG归零 这又是什么闪电贷攻击?

Related