五成勒索軟件贖金流進(jìn)了25個(gè)超級(jí)賬戶

安全牛
調(diào)查發(fā)現(xiàn),勒索軟件攻擊者將絕大部分贖金資金(約82%)轉(zhuǎn)移到了加密貨幣交易所和混合器,所謂混合器就是將各種來(lái)源的加密貨幣混合在一起以隱藏其來(lái)源的服務(wù)。攻擊者將其他資金投資到特定的比特幣存款地址,其功能類似于虛擬貨幣的公共銀行賬戶。

2345截圖20200908083720.png

2020年,199個(gè)比特幣錢(qián)包地址接收了勒索軟件組織所有贖金的80%。在這199個(gè)地址中,有25個(gè)超級(jí)賬戶收集了46%的贖金。

Chainalysis是一家區(qū)塊鏈分析軟件公司,負(fù)責(zé)監(jiān)控公共加密貨幣的走勢(shì)并向執(zhí)法機(jī)構(gòu)提供工具,該公司追蹤了通過(guò)已知勒索軟件錢(qián)包轉(zhuǎn)移的價(jià)值超過(guò)3.486億美元的比特幣資金流向。

根據(jù)Chainalysis近日發(fā)布的分析報(bào)告,勒索軟件加密貨幣贖金付款在2020年猛增311%,大型企業(yè)的贖金動(dòng)輒超過(guò)1000萬(wàn)美元,總金額接近3.5億美元(下圖):

2345截圖20200908083720.png

雖然勒索軟件的攻擊頻率和贖金規(guī)模不斷增長(zhǎng),但是勒索軟件黑市經(jīng)濟(jì)卻呈現(xiàn)高度集中化的趨勢(shì),少數(shù)勒索軟件集團(tuán)通過(guò)RaaS等租賃和加盟模式獲取了絕大多數(shù)的利潤(rùn),下圖是過(guò)去6年收入最高的六大勒索軟件幫派的營(yíng)收統(tǒng)計(jì):

2345截圖20200908083720.png

調(diào)查發(fā)現(xiàn),勒索軟件攻擊者將絕大部分贖金資金(約82%)轉(zhuǎn)移到了加密貨幣交易所和混合器,所謂混合器就是將各種來(lái)源的加密貨幣混合在一起以隱藏其來(lái)源的服務(wù)。攻擊者將其他資金投資到特定的比特幣存款地址,其功能類似于虛擬貨幣的公共銀行賬戶。

由于勒索軟件RaaS服務(wù)的興起,看似生態(tài)繁榮的勒索軟件市場(chǎng)(下圖)實(shí)際上大多數(shù)幫派是少數(shù)幫派控制的“馬甲”或者“加盟商”。三大勒索軟件—Ryuk、Maze和Doppelpaymer占所有已知贖金付款的一半以上。

2345截圖20200908083720.png

勒索軟件如此猖獗的原因之一是大多攻擊者逃避了法律制裁(例如,與受害者不在同一個(gè)司法管轄區(qū))。但是,如果大多數(shù)大型黑客組織都從少數(shù)已知比特幣錢(qián)包中獲取和兌現(xiàn)資金,這可能會(huì)切斷調(diào)查人員追溯贖金流動(dòng)的機(jī)會(huì)。

2345截圖20200908083720.png

根據(jù)報(bào)告(上圖),勒索軟件攻擊者將從受害者那里獲得的大部分資金轉(zhuǎn)移到主流交易所、高風(fēng)險(xiǎn)交易所(這意味著那些沒(méi)有遵從或不存在合規(guī)標(biāo)準(zhǔn)的交易所)和混合器中。但是,勒索軟件的洗錢(qián)基礎(chǔ)設(shè)施可能只受幾個(gè)關(guān)鍵參與者的控制,類似于勒索軟件本身的情況。

報(bào)告指出,大多數(shù)資金流入相同的比特幣錢(qián)包地址表明,不同勒索軟件在使用相同的洗錢(qián)服務(wù),這些信息可被用來(lái)分析勒索軟件幫派之間的關(guān)系,正因如此前業(yè)界通過(guò)分析錢(qián)包地址推斷Egregor實(shí)際上就是換了個(gè)馬甲的Maze(已宣布停止活動(dòng))。此外,勒索軟件共用洗錢(qián)服務(wù)的事實(shí)對(duì)于執(zhí)法者也是重要信息,這意味著通過(guò)掐斷一個(gè)洗錢(qián)基礎(chǔ)設(shè)施,能夠破壞多個(gè)勒索軟件活動(dòng),特別是其變現(xiàn)和使用加密貨幣的能力。

金·格勞爾指出:“如果(加密貨幣贖金)沒(méi)有辦法兌現(xiàn)(成法幣),那么(受害者)就有可能收回他們已經(jīng)支付的贖金。”

初步證據(jù)表明,少數(shù)勒索軟件運(yùn)營(yíng)商正向長(zhǎng)期合作者定期付款,或使用相同的存款地址來(lái)洗錢(qián)。Chainalysis研究負(fù)責(zé)人金·格勞爾指出:“我們看到了非法資金的去向。如果一個(gè)賬戶持續(xù)收到贖金付款的60%,就基本可以判定該地址屬于勒索軟件的會(huì)員。”

除了洗錢(qián)服務(wù)外,勒索軟件運(yùn)營(yíng)者還向以下三類提供商發(fā)送加密貨幣,包括:

滲透測(cè)試服務(wù):勒索軟件運(yùn)營(yíng)商使用它來(lái)探測(cè)潛在受害者的網(wǎng)絡(luò)中的弱點(diǎn);

漏洞利用和訪問(wèn)權(quán)限賣(mài)方(經(jīng)紀(jì)人):負(fù)責(zé)向勒索軟件運(yùn)營(yíng)商和其他網(wǎng)絡(luò)罪犯出售各種軟件漏洞或訪問(wèn)權(quán)限,可以用來(lái)向受害者的網(wǎng)絡(luò)注入惡意軟件;

防彈托管提供商:允許網(wǎng)絡(luò)犯罪分子匿名購(gòu)買(mǎi),并提供“防彈托管”的服務(wù)商。勒索軟件運(yùn)營(yíng)商通常需要網(wǎng)絡(luò)托管來(lái)設(shè)置命令和控制(C2)域名,黑客通過(guò)該域名允許將命令發(fā)送到感染惡意軟件的受害者的計(jì)算機(jī)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)

精選文章

熱點(diǎn)資訊