2021 年 5 月 10 日， 美国拜登政府宣布进入紧急状态。起因是美国最大的燃油管道被一个不太起眼的勒索软件攻击，这个勒索软件叫做 DarkSide，翻译过来大概就是「阴暗面」。

Colonial Pipeline 是美国最大的成品油管道运营商，每天通过管道系统输送超过 1 亿加仑的燃料，该管道系统连接得克萨斯州休斯顿和新泽西州林登，跨度长达 5,500 多英里，美国东海岸 45% 的燃料都由该管道系统提供，受此事件影响，此次燃油管道关闭导致油价攀升 1%。

据 PeckShield「派盾」统计显示，自 2020 年 8 月起，DarkSide 开始小试牛刀，并在今年 2 月加速勒索攻击，攻击频率达到峰值。

谁也没想到这个尚未跻身 Top 10 的勒索软件，会在半年后成为令美国谈之色变的「黑暗面」。

受害者中招后，除了大量文件被加密无法打开，还会收到一封勒索信，信里清清楚楚地写着“很不幸，你被黑了，不要惊慌，只需要按照提示走一遍支付流程就能恢复正常。”

在赎金支付方式上，DarkSide 除了提供比特币支付地址，还提供难以追溯的隐私币「门罗币」。赎金范围一般从 20 万美元至 300 万美元，折合人民币 140 万至 2,100 万元不等，Colonial Pipeline 事件应该是迄今为止 DarkSide 捞到的最大一笔：500 万美元（折合人民币 3,500万元）。

事实上，5 月初，DarkSide 已经成功勒索化学品分销巨头 Brenntag 北美分部，并得手 78.29 BTC，价值 440 万美元。

有意思的是，交赎金页面，DarkSide 设置了一个追踪页面，不仅让你知道他们时时洞悉你有没有在有效期内交付赎金，还让你清楚地看到你的转账哈希、金额、时间和状态。

他们还会留给你一个倒计时— 8 小时，超过 8 小时仍未支付赎金，赎金就会翻一番，例如从 3,000 万美元变成 6,000 万美元，到期程序会自动翻倍赎金金额，没有商量的余地。

DarkSide 的运营方式就好似微商一样，通过发展代理商、下线来实施勒索，他们把作案工具和方法提供给下家，然后从下游勒索犯那里抽成获利。DarkSide 明文规定如果赎金金额少于 50 万美元，他们会抽成 25%，即大约 12 万美元；当赎金要求大于 500 万美元时，抽成减少至 10% 左右，即大约 50 万美元。

这一点从 PeckShield「派盾」旗下的反洗钱反欺诈系统 CoinHolmes 也可以看出，北京时间 5 月 9 日 Colonial Pipeline 交付赎金 75 BTC 后，这 75 BTC 被分别转至开头为 bc1qxu 和开头为 bc1qu5 的两个钱包地址，赎金占比分别大约为 84% 和 16%。

这种运营方式在勒索产业链被称为「勒索即服务（RaaS）」，就是把勒索做成一种服务，通过这种方式，迅速扩张，吸纳一大批下家替自己打家劫舍，输入资金，而自己则抽身到幕后做「幕后玩家」，在后方为“弟兄们”输送武器弹药和出谋划策。

近几年，勒索团队凭借这种模式走出了一套完备的商业模式，PeckShield「派盾」在《2020 年反洗钱报告》中披露，勒索攻击和虚拟货币结合，利⽤虚拟货币收款后攻击收益率⼤幅提升。据数据显示，2020 年全年勒索软件 REvil 依靠 RaaS 净赚 1 亿美元。

从 2020 年 8 月到今年 5 月，不到一年的时间，「阴暗面勒索家族」就已经成型，并在导致 Colonial Pipeline 瘫痪后一炮而红，名利双收。

尽管「阴暗面」在全球作恶，但他们却说“自己是有原则的侠盗”。不仅在首页写明自己的原则：不攻击医药、教育、政府、非营利组织等机构，而且曾于 2020 年 10 月把勒索所得的共计 1.76 比特币（价值 2.24 万美元）分两笔捐给了 Children International 和 Water Project 两家慈善机构。

但他们可能忘了，由于输油管道被切断，此时有成千上万的人因为他们的勒索而身处水深火热之中。

事情有了一些转折，在收到赎金后不久，DarkSide 或因扛不住社会各界的高度关注，突然宣布解散。

事实上，正义的一方从未松懈，虽然抓到人很难，但大家已经开始着手于追踪比特币等勒索资金的路径，来减轻此类危害，并且试图通过人物画像来定位这群攻击者。

PeckShield「派盾」的反欺诈专家表示：“由于链上数据的可追溯性，可一定程度还原链上非法交易原委，为辅助警方定位勒索团伙的工作提供有效信息。但定位到虚拟货币交易地址不一定能定位到人，打击勒索软件需要多种技术⼿段结合。一来，他们擅长用‘跳板服务器’来伪装自己；二来，勒索攻击者可能分布在任何一个国家或地区，需要全球联合⾏动。”