NTT：全球威脅情報中心2021年6月報告（英文版）（8頁）.pdf

1、5月7日，星期五，殖民地輸油管道由于黑邊勒索軟件集團在其網絡中的勒索軟件爆發而暫停運營。由于殖民地提供了東海岸大約45%的燃料，這導致了加油站的恐慌，因為消費者爭先恐后地給他們的車輛加油，在某些情況下，他們把燃料儲存在手頭的任何容器里。在過去，當一個大的漏洞發生時，受影響的人會收到一個通知，他們需要在接下來的12-18個月內更改密碼并監控他們的信用報告。然而，殖民地決口的余波導致了天然氣泵之間的口水戰。那么，為什么管道一開始就被關閉了呢?當消息第一次傳出時，人們做出了很多假設，認為勒索軟件已經感染了物理管道系統(通常稱為操作技術，或OT)本身。實際情況是，殖民地主動關閉他們的OT系統，以保護他

2、們免受內部系統實際上已經受到損害。對于Colonial來說，這可能是他們最好的選擇，因為整個OT網絡的感染可能會導致管道停工時間大大延長，并造成大量燃料短缺，可能需要數周甚至數月才能恢復?？紤]到陣亡將士紀念日，經過一年或更長時間的隔離，即將到來，我們可以看到美國東部出現了大規模的疫情。OT基礎設施與傳統IT網絡截然不同。雖然有一個巨大的推動現代化，這并不少見，看到控制系統運行過時的操作系統。windowsnt和XP仍然大量存在于OT網絡中。這在一定程度上是由于系統可能已經使用了20年，并且由于24/7的需求或更換成本過高而無法隨時升級。問題最終是控制系統無法再修補漏洞，并且往往無法運行組織IT端已經在使用的現代安全工具。因此，在Colonial的案例中，如果他們的管道系統受到影響，則需要進行大規模的重啟和恢復操作。當你有一條從德克薩斯州到新澤西州的輸油管道時，手動重啟需要付出巨大的努力。對于Colonial來說，關閉輸油管道可能是他們最好的選擇，因為整個OT網絡的感染可能會導致輸油管道的停工時間大大延長，并造成大規模的燃料短缺。冰山的人似乎把很多注意力都集中在實際關閉和勒索軟件的支付上。然而，在殖民主義發展到這個地步之前，很多事情都出了問題。到目前為止，有關殖民地入侵的細節還沒有公布，但如果我們看看DarkSide過去是如何運作的，很可能有多個入侵導致了勒索軟件的安裝。