5月7日，美国最大的燃料油管道运营商Colonial Pipeline遭到黑客使用的勒索软件攻击，被迫关闭了其全长5500英里（约等于8800公里）的燃料油运输管道。

（图中红线和蓝线，就是Colonial的两条输油管，图片来自其官网）

为了保证东海岸的汽柴油供应，5月9日，美国宣布进入紧急状态，允许卡车装载燃料油通过公路运输，来弥补其管道关闭造成的供应缺口。

看到这篇新闻的时候，我估计你跟我一样是懵的：

“Colonial是干啥的，他被哪个黑客攻击了，用啥攻击的，这跟我有啥关系”？

下面，黑奇士（id hqssima）来详细讲讲这个事，我尽量用浅显易懂的语言来讲，这样你才能听得懂，读完之后才会有用。

Colonial是小号“美国石化”，运送东海岸45%的油

跟咱们国家不同，美国的汽油开采、炼化、运输和出售是分成不同的公司来进行的。

Colonial管道成立于1962年，是美国最大的燃料油管道供应商，他建设了一条从墨西哥湾通向美国东海岸的燃油管，每天通过管道运输1亿加仑（相当于3.8亿升）的汽油和柴油。

他运输的燃料占东海岸消耗的45%左右，其管道系统横跨5500多英里，主要有两条线路:一条用于输送汽油，另一条用于输送柴油和航空燃料。

这两条管道就相当于美国的大动脉，油管一断，美国东岸就患上了脑血栓。

根据美国法律规定，燃料油只能通过管道运输。为了保证东海岸的美国人能用上汽油，美国政府不得不宣布进入紧急状态，因为在紧急状态下，可以用卡车运输燃料油。（有人说“美国进入紧急状态”这个说法有所夸大，所以我用了17个州进入紧急状态这个说法，因为平时状态不许公路用于运送燃油）

“美国政府全力帮助受到黑客攻击的燃油管道运营商Colonial恢复”，10日有媒体报道称，这是有报告以来最具破坏性的数字勒索事件之一，促使美国立法者要求加强对美国关键能源基础设施的保护，以防止遭受黑客攻击。美国商务部长表示，恢复管道运营是政府的重中之重。

好死不死的是，攻击Colonial的黑客组织被认为有俄国背景，于是这个事开始变得越发严重起来……嘿嘿

攻击者疑似俄国黑客新秀，深信服去年8月截获样本

攻击Colonial公司是一个名为DarkSide的勒索软件，因此该组织也被称为DarkSide（因为星球大战中有dark side的中文翻译，所以我把这个组织的中文名翻译成“黑暗原力”）。

他们专门制造勒索软件，攻击成功之后会发送勒索信，索取价值数十万乃至数百万美元不等的比特币。

这个组织成立于啥时候不可考，但他们的第一次为人所知的攻击是针对某地产商，发生于2020年8月，深信服千里目安全团队在当年9月份发布了针对该勒索软件的分析报告。

报告指出，该病毒使用RSA1024算法进行加密，暂无法对其破解解密，因此需要潜在的受害者做好安全防护。

根据外媒报道，遭到其攻击的地产商资产高达57亿美元，黑客索取的赎金为200万美金（当时约合193个比特币）

与其他勒索软件不同的是，DarkSide在攻击之前会尽可能详细的了解被攻击目标，波士顿安全公司Cybereason的首席执行官Lior Div对媒体说，“他们知道谁是经理，他们知道与谁交谈，他们知道钱在哪里，他们知道谁是决策者”

值得关注的是，DarkSide组织在2021年1月份一笔勒索病毒的交易中便获45个比特币，约合人民币1700多万元。对此，奇安信反病毒专家判断，面对如此巨额的收益，未来针对组织的定向勒索攻击会愈加猖狂，针对的目标公司体量也会愈来愈大

由于这种针对性的勒索成功率极高，DarkSide在暗网上发帖吹嘘说“我们通过这个病毒挣了几百万美元，我们不缺钱”

因为DarkSide病毒排除了俄语、乌克兰语和哈萨克语系统，因此人们都认为这些黑客来自于前苏联加盟共和国，他们的攻击目标可能受俄国政府影响。

中毒后电脑全盘被加密 通过多种流行病毒传播

既然这个病毒这么厉害，他通过啥途径感染，中毒后有啥表现？

先说说这个感染途径：

现在的勒索软件都升级到了一个匪夷所思的地步，病毒制作者会在暗网发布感染任务，每个手里有“肉鸡”的人都可以获得一个id，通过这个id感染后获得的勒索酬金，都会分给“代理商”一份。

因此，我们看到的是，所有的后门、远程控制、木马、下载器等等病毒，最近一两年都在疯狂下载勒索软件，毕竟这是病毒“变现”最为方便快捷又可行的途径。（也就是说，勒索病毒是通过其他病毒来传播的）

奇安信的分析报告指出，DarkSide组织会用扫描器发现目标网络的已知漏洞，然后黑客会手工上传病毒。

中了勒索病毒之后，凡是可能涉及个人数字资产的文件，都会被加密，包括：jpg、txt、excel、word、pdf等等等。

如果被DarkSide病毒感染，你可以看到自己电脑上的文件后，会加上8位乱码，如下图所示：

(图片来自熊猫正正)

周鸿祎：网络安全就是国家安全，基础设施成为攻击目标

360创始人周鸿祎在微博转发了该事件后指出，网络安全就是国家安全，网络攻击已经成为黑天鹅事件，随时可能从预想不到的地方发生，导致严重后果，而基础设施已经成为黑客攻击选取的首要目标。

目前，包括水、油、电、气等民用领域，很多巨型企业都使用了嵌入式系统、或工业软件系统，而这些软件一方面是漏洞不容易发现，即使发现了也很难及时更新，安全更新周期更长，也更容易遭到黑客攻击。就像当初的stuxnet蠕虫病毒，它依赖西门子系统漏洞，那种系统只有极少的人了解和研究，一旦被人攻击就很难在短时间内防御。

深信服专家指出，应围绕关键信息基础设施重点防护，定期进行风险评估和安全控制措施调整，加强监测预警和应急响应机制建设，有效防范安全风险，提升关键信息基础设施综合安全防护能力。

“面对愈加强大的定向勒索攻击者，我们对网络安全防御需要提升整体的防护水平，要以面对APT组织攻击的策略进行防御体系建设，才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索攻击。” 奇安信基于本次勒索事件如此研判。

防范勒索病毒的四个举措

想想这个防范措施，其实不同的人站在不同的立场，该采取的措施是不同的。

比如，DarkSide只攻击黑客选定的企业系统，所以个人用户其实用不着太多的担心。如果实在担心自己的私人照片、个人文件会被加密，建议做好硬盘实时备份即可，所需的成本在500-1000元。

这样中毒之后只要重装系统，不会有太大的问题。（当然也要打好补丁、装好杀毒软件，这是常规操作）

对于企业系统，我个人的建议是除了做好软硬件防护之后，安全管理措施也要跟上：

1、不要让员工的U盘、移动设备接入核心内网系统。

2、做好系统补丁的分发和配置

3、对于内网重要性不同的部分，做好权限管理和准入。

4、做好核心数据的实时备份，这样即使被勒索软件感染，也可以实时恢复数据，业务不会受到太大的影响。

DarkSide带来的安全风险其实是两个方面，一个是核心数据被加密之后无法访问，导致关键业务崩溃的风险；另一个是如果不交赎金，黑客会在暗网公布用户隐私数据，导致企业可能在声誉和法律上遇到的风险。（犹他大学就实时恢复了数据，但因为担心学生隐私被公布，被迫交了47万美元）

参考资料和鸣谢：

1、深信服千里目安全团队

2、周鸿祎新浪微博

3、奇安信美国油管事件分析报告