通了，交了3200万，恐引来大潮

前情回顾：

美国最大成品油管道公司Colonial Pipeline已从不到一周前的勒索软件攻击中迅速恢复过来，并期望其所有基础架构在今天能够全面运行。该公司已经使许多管道系统联机，并且目前正在为其所服务的大多数市场提供精炼石油产品。

快速恢复

Colonial Pipeline管道管理着美国最大的管道系统，几乎供应了东海岸所消耗燃料的一半。

勒索软件攻击后，为预防起见，决定关闭其基础设施，随后美国运输部的联邦机动车辆安全管理局（FMCSA）宣布18个州进入紧急状态。

据多家媒体报道，由于Colonial Pipeline管道暂停产品交付而造成的短缺导致天然气价格上涨。

在这种情况下，该公司承受着重启活动的巨大压力，并于今天宣布“在安全重启我们的管道系统方面取得了实质性进展”。

下面的地图以绿色显示了昨天正在运行的部分，蓝线标记中国时间后半夜开始运行的网络部分。

殖民地管道系统修复图

Colonial Pipeline在不到一周前的5月7日得知了网络攻击。很快就证实这是来自DarkSide网络犯罪团伙的勒索软件攻击。考虑到攻击者的经验，公司的规模及其在美国的重要性，如此快速的恢复操作将表明Colonial Pipeline向解密者支付了解密密钥，并且不会泄漏被盗的数据。

赎金支付500万美元

周三，多家媒体刊物援引知情人士的话报道，该公司没有支付赎金的计划，尽管Colonial Pipeline并未就此发表官方立场。

有意思的是：白宫官员前天表示，他们没有就是否向勒索关闭美国重要管道的黑客支付赎金的建议提供给殖民地管道。这是一个私营部门的决定”，言下之意抓紧时间支付搞定？

然后，彭博社今天报道称，殖民地管道向DarkSide支付了将近500万美元（约3200万人民币）的加密货币，以获取解密密钥并恢复其系统。由于该工具太慢，该公司使用其备份来还原系统。

尽管此举可以解释操作的快速恢复，但CNN告知，从美国中间服务器检索到攻击者用来存储被盗信息的“最重要数据”后，Colonial Pipeline的快速恢复是可能的。在取回数据之后，该公司还可以使用其备份系统来还原系统并恢复管道运行而无需支付赎金。

目前已全线恢复

中国时间凌晨5点多：Colonial Pipeline今天更新了其公告，确认其整个管道系统目前正在运行，并且产品已开始服务所有市场：

DarkSide另外一个对象也支付了400万美元

化学品分销公司Brenntag向DarkSide勒索软件团伙支付了440万美元的比特币赎金，以接收用于加密文件的解密器，并防止威胁者公开泄露被盗数据。

Brenntag是一家全球领先的化学品分销公司，总部位于德国，但在全球670多个地点拥有17,000多名员工。根据 ICS化工百强分销商的报告，Brenntag占北美第二大销售额。

5月初，Brenntag遭受了针对其北美部门的勒索软件攻击。作为此攻击的一部分，威胁行动者对网络上的设备进行了加密，并偷走了未加密的文件。DarkSide勒索软件组织声称在其攻击期间窃取了150GB的数据。为了证明他们的主张，勒索软件帮派创建了一个私人数据泄漏页面，其中包含对被盗数据类型的描述以及某些文件的屏幕截图。

拜登发布行政命令以增强美国网络安全防御能力

拜登总统周三签署了一项行政命令，以现代化该国抵御网络攻击的防御措施，并让他们更及时地获得执法部门进行调查所必需的信息。

该行政命令是继今年针对美国利益的众多网络攻击之后进行的，包括12月的 SolarWinds供应链攻击以及最近针对美国最大的燃料管道Colonial Pipeline的DarkSide勒索软件攻击。

34页的《改善国家网络安全行政命令》旨在现代化联邦政府基础设施的网络安全防御措施，创建标准化的事件响应手册，并加强服务提供商与执法部门之间的沟通。

行政命令将指示政府采取以下行动：

• 要求IT（信息技术）和OT（运营技术）服务提供商（包括云托管提供商）共享有关他们已意识到的网络安全威胁和违规信息，并消除阻碍共享此类信息的合同问题。

• 现代化联邦政府的IT服务，包括向零信任架构迈进，要求多因素身份验证，对静态数据和传输中的数据进行加密，并针对使用云服务制定严格的安全准则。

• 通过制定准则，工具和最佳实践来审核和确保关键软件不会在供应链攻击中受到恶意参与者的篡改，从而提高供应链的安全性。作为该计划的一部分，联邦政府将创建一个“能源之星”类型的程序，以表明软件是安全开发的。

• 建立一个“网络安全审查委员会”，其中包括联邦和私营部门的成员，他们将在重大网络事件后召集会议，以评估攻击，提供建议并与执法部门共享相关的机密信息。

• 在所有政府机构中创建标准化的剧本，以应对违规和网络攻击。

• 通过部署集中式端点检测和响应（EDR）解决方案以及政府内部信息共享，改善对政府网络上网络安全漏洞和违规行为的检测和补救。

这些举措将轮流执行，从行政命令开始到30天不等，有时甚至是360天。Tenable首席执行官兼创始董事Amit Yoran表示：“这是我在任何政府部门中见到的最详细，最受期限驱动的EO之一。在发生地震袭击之后，就像SolarWinds一样，这实在令人鼓舞。” US-CERT，在与BleepingComputer的声明中共享。

白宫还发布了行政命令的摘要版本，该摘要很好地概述了为提高该国的网络安全状况而即将进行的更改。

总评：或引来效仿

吃柿子专挑软的捏，人心永远是不能满足的，老美这次在事件中起到了一个很坏的榜样作用，那就是交了钱。

在勒索界得知DarkSide连续成功拿到赎金勒索成功的事件后， 相信更多的勒索团队开始针对老美的各基建行业，毕竟这次殖民地管道事件DarkSide能全身而退且拿到了500万美元的赎金对于他们来说是个极好的榜样，表明只要伤及民生命脉老美还是乖乖交了钱。

此种行为一旦引起效仿，除美国外，其他各国（包括我国）的基建能源等行业恐也将面临一次总攻性质的威胁。红数位认为，做好积极主动防御至关重要。我国应该引起足够重视，提供警惕性，强化网络弹性，强调事先做充分准备，准备好应对任何可能发生的事情。 

参考：

摘要：

https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/fact-sheet-president-signs-executive-order-charting-new-course-to-improve-the-nations-cybersecurity-and-protect-federal-government-networks/

《改善国家网络安全行政命令》

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/