年5月7日,美国最大的燃油管道商ColonialPipeline遭到勒索软件攻击,由于ColonialPipeline负责美国东岸多达45%的燃料供应,此次攻击事件导致该公司暂停了所有的管道作业网络及输送业务,对美国东海岸燃油供应造成了严重影响。年5月9日,美国交通部下属的联邦汽车运输安全管理局发布了一份区域紧急状态声明。美国交通部临时授权受影响的17个州和华盛顿特区的燃油临时运输豁免,允许通过公路运输,从而降低科洛尼尔事件的影响。
这是美国首次因网络攻击宣布多州进入紧急状态,此前公布的紧急状态大多是美国政府实施国家制裁或军队及公共卫生相关。
注:总部设于乔治亚州的ColonialPipeline具备美国最大的精炼油管道系统,每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油,占美国东岸燃油供应的45%,负责美国7个机场的燃油供应。攻击导致东部的阿拉巴马州,阿肯色州,哥伦比亚特区,特拉华州,佛罗里达州,乔治亚州,肯塔基州,路易斯安那州,马里兰州,密西西比州,新泽西州,纽约州,北卡罗莱纳州,宾夕法尼亚州,南卡罗来纳州,田纳西州,德克萨斯州和弗吉尼亚州均受影响。
一、攻击过程分析
据知情人士透露,结合奇安信提供的信息分析,此次攻击由DarkSide勒索软件团伙(母语为俄语的网络犯罪团伙)实施,仅两个小时就从位于佐治亚州阿尔法利塔的Colonial公司网络中窃取了近GB的敏感数据。可能利用的安全风险主要为弱口令、重要数据未加密、非法访问防御措施不够等。
结合DarkSide团过的历史入侵手段综合分析,该组织可能使用MetaSploit和其他攻击性安全工具框架扫描攻击目标网络的安全漏洞,目的是建立或者获取初始访问权限。逐步通过RDP会话从而获取管理员(域控)账号,进而获取存储重要文件和敏感数据服务器的权限账号。非法登录服务器后,窃取敏感数据通过Privatlab和mega网盘手动上传,有时也会将窃取的数据上传至团伙的CDN服务器。同时,加密Colonial公司的重要文件和敏感数据,并将部分信息上传暗网,声称不交付赎金,将公布所有敏感数据。
二、勒索病毒防范十条对策
目前,定向勒索攻击者已对网络安全造成严重威胁,请各单位、各地严格落实网络安全等级保护要求,强化攻防演习等高阶防护措施,并参考以下十条应对措施进行自查及整改加固工作,加强对此类定向针对性勒索病毒攻击防范,全力做好建党周年网络安全保障工作。
(一)及时修复网络系统各类安全漏洞,做好日常安全运维;
(二)采用高强度密码,坚决杜绝弱口令、空口令,有条件的采取密码技术实现身份鉴别和访问控制,增加勒索病毒入侵难度;
(三)定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。有条件的要做好重要文件、重要数据的异地容灾备份工作;
(四)加强安全配置提高安全基线,建议内网关闭不必要的网络端口,降低横向移动的风险,如、、、等不用的高危端口等;关闭不必要的文件共享,禁用对共享文件夹的匿名访问;
(五)U盘等存储介质使用要规范,防止U盘传播勒索病毒;
(六)不同网域(如互联网与逻辑隔离内网、逻辑隔离内网与物理隔离内网、互联网与物理隔离内网)边界防护要严格按照安全要求落实访问控制策略和数据流向控制;
(七)部署技术能力强的杀毒软件,在终端和服务器上部署专业杀毒软件;
(八)所有安全防护设备配置要动态调整,禁止设置ANY-ANY;
(九)对没有联网需求服务器的访问进行权限控制,防止外网服务器被入侵后作为跳板进行横向移动;
(十)提高全员安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。
