黑客拿到500萬美元：美國被黑燃油管道商“花錢消災” 結果很尷尬

在被黑客掐斷重要運輸管道後，美國最大燃油管道商之一的科洛尼爾管道運輸公司（Colonial Pipeline）被迫繳納了贖金，才得以恢復運營。

贖金高達500萬美元，約合人民幣3200萬，是以加密貨幣的形式支付給黑客。

該公司原本無意向黑客妥協，政府也建議該公司不要支付贖金，否則將助長黑客攻擊盈利之風。

美媒：科洛尼爾向黑客支付了500萬美元

科洛尼爾運營美國最大的成品油管道系統，管道共長5500英里，將汽油和其他燃料從德克薩斯州運往東北，其提供的燃油約佔東海岸燃料消耗的45%。其燃油運輸中斷將影響到5000萬美國人，涉及民生及國家安全。

本月7日，黑客通過加密手段鎖住該公司計算機系統並盜取機密文件，試圖以解鎖爲條件來勒索贖金。該公司一度被迫關閉整個能源供應網絡，極大影響了美國東海岸燃油等能源供應。

據央視新聞援引美國媒體當地時間13日報道，有消息人士稱，遭到黑客攻擊被迫關閉輸油管道的美國科洛尼爾管道運輸公司原無意向黑客妥協，但最終還是支付了將近500萬美元的贖金以恢復被攻擊的系統。

據消息人士透露，在7日遭到黑客攻擊的數小時後，科洛尼爾管道運輸公司以無法追蹤交易往來的加密貨幣支付了贖金，黑客收到付款後提供瞭解密工具幫助恢復其計算機網絡。但因該解密工具運行速度過慢，科洛尼爾管道運輸公司最後還是使用自己的備份數據來恢復系統。

此前多家美國媒體報道稱，科洛尼爾管道運輸公司沒有支付贖金的計劃，而是希望通過與網絡安全公司合作，從備份系統中恢復數據。美國網絡安全和基礎設施安全局代理局長布蘭登·威爾斯（Brandon Wales）也曾針對該事件表示，建議該公司不要支付贖金，否則將助長黑客攻擊盈利之風。

此外，當地時間5月13日，美國總統拜登就美國科洛尼爾管道運輸公司遭黑客攻擊事件在白宮進行講話。拜登表示，科洛尼爾管道運輸公司已於昨日開始重啓工作，並於13日早上開始恢復向大部分地區運輸燃料，大部分地區將在本週末至下週初開始逐漸恢復燃油供應。拜登指出，雖然該公司即將恢復全部運營能力，但在安全情況下完全恢復運營仍需一段時間。

拜登還說，美方不認爲俄羅斯政府與科洛尼爾管道運輸公司遭黑客攻擊事件有關，但美方有充分理由相信，實施網絡攻擊的人居住在俄羅斯。

拜登表示，美國政府已經下達一系列緊急命令以暫時免除部分燃料運輸限制的法令，使燃油能更容易地送到有需求的地區。由於燃油供應即將恢復，拜登希望民衆停止恐慌性搶購汽油的行爲，並表示將對加油站的燃油價格欺詐問題進行嚴厲打擊。

消息傳出後，國家油價急跌，美國WTI原油盤中一度跌近5%。最終，WTI 6月原油期貨結算價收跌2.26美元，跌幅3.42%，報63.82美元/桶。布倫特7月原油期貨收跌2.27美元，跌幅3.27%，報67.05美元/桶。均創1個月以來最大單日跌幅。

Darkside是誰？

美國聯邦調查局（FBI）10日指認，此次網絡襲擊與黑客組織“黑暗面”（DarkSide）有關。該組織據信位於俄羅斯或東歐，專門通過竊取公司機密數據對其進行勒索，以換取贖金。該組織甚至配有客服。

Darkside，是一個提供勒索軟件即服務（RaaS：Ransomware as a Service）的組織。一封勒索軟件領域宣傳資料曾如此描述RaaS：

“簡單！低成本！一夜暴富！不需要花多年時間浸淫代碼編寫或軟件開發技藝。只需要下載我們簡單的勒索軟件工具包，就能讓您錢財源源而來——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂。”

隨着互聯網技術的發展和應用軟件的成熟，近年來軟件即服務（SaaS）日趨流行。SaaS平臺供應商將應用軟件統一部署在自己的服務器上，客戶可以根據工作實際需求，通過互聯網向廠商定購所需的應用軟件服務。

SaaS平臺爲中小企業提供了較爲廉價的軟件服務，而RaaS則是爲犯罪團伙提供了廉價的作案工具。RaaS這種商業模式的興起，使得從業者無需任何專業技術知識就可以毫不費力地發起網絡敲詐活動。近幾年，RaaS呈爆發式增長，可謂網絡安全的新疫情。RaaS爲黑客提供了勒索軟件的巨大使用便利，節省了他們的時間資源並簡化了流程，還有利於保護攻擊者的真實身份。

一個勒索軟件特別工作組上個月發佈的報告稱，2020年勒索軟件受害者支付的金額暴增311%，至大約3.5億美元加密貨幣，各機構支付的平均贖金額爲31萬美元左右。

安恆信息工業互聯網安全事業部總經理葉鵬對《每日經濟新聞》記者表示，勒索病毒主要以郵件、程序木馬、網頁掛馬的形式進行傳播，利用各種非對稱加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰纔有可能破解。“上次挪威鋁業巨頭（海德魯）遭受勒索軟件攻擊，耗費約一個月時間才完全恢復。”

隨後，葉鵬詳細描述了勒索病毒的工作原理：“勒索病毒文件一旦進入本地，就會自動運行。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息並下載加密公鑰，利用加密公鑰對文件進行加密。除了擁有解密私鑰的攻擊者本人，其他人幾乎不可能解密。”

加密完成後，勒索病毒通常還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。勒索病毒變種非常快，對常規的殺毒軟件都具有免疫性。

對於類似RaaS這樣的商業模式，葉鵬認爲，不僅僅是勒索軟件，整個互聯網領域的攻擊行爲都呈現出低門檻、低成本的趨勢。比如一個普通中學生，都能夠使用相關工具輕鬆攻擊機構網站，這對互聯網安全企業提出了更高的要求。