利用受陷 VPN 密码攻陷 Colonial Pipeline，FBI已追回大部分赎金

上周五，彭博社报道称，攻击者早在4月29日通过旨在使员工远程访问公司网络的 VPN 账户在网络站稳脚跟。调查报告显示，该 VPN 账户并不具有多因素防护措施，虽然当时是未使用状况但仍然是活跃的，实际上密码已经在暗网泄露，说明该公司员工可能复用了遭泄露的且其它账户此前使用过的密码。

然而，负责调查此事的 Mandiant 公司高级副总裁 Charles Carmakal指出目前尚不清楚密码是如何获取的。

虽然幕后攻击组织 DarkSide 已被封禁，但在此之前已从 Colonial Pipeline 公司窃取近100G 数据，迫使该公司不得不在事件发生后不久支付了440万美元的赎金以避免敏感数据遭泄露。该黑客组织据称在九个月的攻击活动中牟利近9000万美元。

今天，美国政府发布视频会议指出，Colonial Pipeline 公司快速通知执法部门后，司法部已追回大部分赎金。截至目前，已追回63.7个比特币，占总勒索金（75个比特币）的85%左右。

FBI 指出，Darkside 组织转移资金，FBI通过获得其中一个账户的密钥后，经由多个比特币地址追踪到勒索金。目前尚不清楚FBI是从 Darkside 团伙处获得密钥的还是通过第三方获取的。5月14日，在攻击事件发生后，Darkside 组织表示失去了对服务器和比特币存储的可控制。

这是美国司法部勒索软件和数字化勒索特别小组取得的首次成功。

继 Colonial Pipeline 和 JBS Foods 公司遭勒索后，美国政府开始关注勒索软件攻击情况。白宫国家安全委员会发布安全公告，督促企业采取相关防御措施。