油管事件，对大型企业勒索攻击的新商业化

除了国家之间的网络战和针对普通民众的无差别攻击外，一些黑客组织也开始了针对性的有组织犯罪，并形成了规模化、商业化，其中典型的就是勒索攻击。

我举一个在美国引发的震惊全球的勒索案件，就是美国油管事件。

2021年5月7日，美国最大的燃油管道公司——科洛尼尔管道公司，遭遇到了网络犯罪组织黑暗面的勒索软件攻击，从而导致公司网络运营中断，被迫关闭了整个管道输送系统。

作为美国东海岸石油运输的一条“生命线”，科洛尼尔管道每天柴油、汽油、航空燃油以及其他精炼产品的运送量高达250万桶，在整个美国东海岸供应量中的占比为45%，几乎可以说是占据了半壁江山，而本次攻击造成了美国本土大范围的供油紧张。5月9日，美国联邦政府交通部联邦汽车运输安全管理局不得不宣布美国17个州和华盛顿特区进入紧急状态，以解除针对燃料运输的各种限制，保障石油产品可以通过公路快速运输。

5月13日，彭博社援引知情人士消息称，其实在遭到黑客攻击的几个小时之后，科洛尼尔公司就用加密货币支付了500万美元的赎金，折合人民币约3200万元。而且需要特别强调的是，用来支付赎金的加密货币是无法追踪交易往来的，这在一定程度上加大了后期追踪的难度。

黑暗面在收到赎金之后，就把解密工具发给了科洛尼尔公司。但是，由于这个工具在解密数据的时候运行得实在是太慢了，迫于无奈，科洛尼尔公司最终只能使用备份数据来恢复系统。

后来，根据法新社的报道，科洛尼尔公司在5月13日晚曾宣布，受网络攻击影响的管线已经开始重启运作，只是可能仍旧需要几天才能使供应链完全恢复正常状态。5月15日，科洛尼尔再一次发声，宣称公司的管道系统已经“全面恢复正常营运”，“每小时输送数百万加仑给我们所服务的市场”。

然而美国消费者新闻与商业频道（CNBC）在节目中指出，美国东部各州的汽油供应状况依旧不容乐观。根据他们在节目中列出的美国汽油价格跟踪网站GasBuddy的统计数据显示，美国首都华盛顿80%、北卡罗来纳州63%、弗吉尼亚州38%的加油站都无法供应足够的燃油。

科洛尼尔管道运输公司后来表示，在向黑客支付了近500万美元比特币后，美国司法部6月份找回了约230万美元赎金。但这引起了美国国务院对关键基础设施的高度重视，美国国务院7月份发布悬赏1000万美元，征集在外国政府指令或控制下，参与针对美国关键基础设施恶意网络活动的任何人的身份或位置信息。

但在11月4日，美国国务院又宣布，悬赏1000万美元征集油管事件的网络犯罪组织“黑暗面”高层领导人的身份和位置信息，据美国联邦调查局调查，该组织设在俄罗斯。

此后不久，“黑暗面”发布公告称，因为受到美国执法机构的压力，团队已经宣布解散，该组织的网站、博客、DOS服务器等内容都已经无法正常访问。

不过从一个安全行业从业者的角度来看，黑客组织的有组织犯罪已经成为数字化时代网络攻击的主要群体，他们宣称的解散不过是一种惯用伎俩，可能用不了多久，他们就会换个名字，换个身份“重出江湖”。果然没过多长时间，根据日本的NHK电视台的报道，黑暗面组织在暗网中建立了一个网站，并发布消息称已经入侵了东芝在法国的分公司，窃取到的管理信息超过了740G。

接下来就说一说本次勒索攻击事件的罪魁祸首——黑暗面组织。

黑暗面组织成立于2020年8月。虽然时间不长，但已经有很多数字安全专家指出，黑暗面内有许多十分专业、经验丰富的老牌黑客，极其职业化。更加惊人的是，黑暗面还有完整的运营体系，比如客服，用来跟受害公司进行赎金以及其他信息的交流，可以说是公司化运作了。

有意思的是，虽然是一家黑客组织，但他们也有自己的“原则”，比如医疗机构、教育机构、非营利机构和政府机构等组织都不在他们的攻击范围之内。对于潜在的目标，他们也会在发动攻击之前，深入分析目标的财务和运营情况，然后根据公司的净收入来判断其支付赎金的能力。赎金大都用比特币或者门罗币支付，根据目标公司的具体规模和支付能力，赎金也从20万美元到2000万美元划分了多个等级。

如果受害者没有在限定日期前支付赎金，那么赎金就会翻倍；如果目标公司拒绝支付赎金，那么黑暗面就会将窃取到的机密信息、数据公布在他们的独立网站上，展示长达六个月的时间，信息包括目标公司的名称、攻击时间、窃取数据的规模和类型等。将关键信息公之于众的行为，无疑会给公司的经营带来巨大的负面影响，这也是许多公司不得不缴纳赎金的最重要原因之一。

有专业的研究人员指出，从技术层面来说，黑暗面使用的勒索病毒等攻击手段，相较于其他黑客组织并没有任何技术性的突破领先，他们的强项就在于对目标公司信息的挖掘和掌握，比如公司管理层构成、实际决策人、资产规模等，就如同一家调研机构一样。这也是我认为黑暗面更像一家正常公司的原因。

以色列数字安全公司Cybereason的负责人在接受媒体采访时表示，黑暗面拥有自己的新闻中心、受害者热线、组织行为指南等。通过这些组织内容，我们可以看出，黑暗面正试图“改头换面”，打算以一个值得信赖的商业合作方示人。同时该负责人还透露，在科洛尼尔被攻击之前的几个月内，他们的10多个客户同样遭到了黑暗面的“毒手”。

也正是因为这种专业化、职业化的组织和成员，截至2021年5月，黑暗面已经成功进攻至少40家企业，赚取了数百万美元的利润。

对于商业企业而言，勒索攻击已经成为全球公敌，严重影响了企业的业务发展。

回顾这两年的网络安全事件就能发现，全世界的勒索软件攻击呈爆发式增长。2020年，34个勒索软件组织在暗网上泄露了2100多家企业的敏感信息。2021年每11秒将发生一次勒索攻击，带来的直接经济损失将超过300亿美元，这个经济损失是2015年的57倍，勒索软件攻击造成的业务中断平均停机时长将达到23天。

国内勒索软件攻击的形势也不容乐观。2020年，360就接到并处理了3800多起勒索软件攻击事件。根据360安全大脑的监测，数字经济越发达的地区越是勒索软件攻击的重灾区，广东、浙江、江苏排在前三位。这也说明，勒索软件发生的频率和数字经济的发展程度成正比，数字化程度越高，被勒索软件攻击的可能性就越大。如果任其发展，勒索软件攻击将成为大数据发展道路上的一场巨大灾难。

产业数字化是互联网下半场的主题，数字化企业就是主角之一，而这些又往往成为黑客组织的重点牟利目标，因此也成为我们数字安全企业的重点守护对象。我经常说，数字技术的不断革新、数字场景的不断丰富，对很多领域来说是推动和促进业务的发展，但是对我们安全行业来说，则意味着挑战更大，因为这会使得黑客组织的能力、技术和网络武器不断提升，安全挑战也日趋变大。