勒索软件“金融年鉴”:Ryuk至少赚了1.5亿美元该组织至少赚了1.5亿美元。追踪归因于Ryuk恶意软件团伙的61个比特币钱包的研究人员发现,加密货币已从中介交易所转移到亚洲交易所Huobi和Binance,这可能帮助他们逃过了审查。他们发现,Ryuk运营商主要使用上述两个合法的加密货币交易所从受害者的法定付款中兑现比特币。当Ryuk受害者支付赎金时,这笔钱首先会流向经纪人,然后经纪人将其转交给恶意软件运营商。然后,这些钱在进入合法的加密货币交易所之前经过洗钱服务,或用于支付地下市场的犯罪服务费用。“除了火币和币安这两家大型交易所,还有大量加密货币流入一些资金较少的地址,这很可能是一种犯罪服务——兑换(洗钱)当地货币或其他数字货币,”研究人员解释说。研究人员在报告中透露,在此次调查中发现的与Ryuk关联的钱包支付的最大赎金超过1200万美元(365BTC)。但这甚至不是支付给Ryuk的最高赎金。最大的赎金支付此前AdvancedIntelligence的一份报告中曝光的是2200比特币,当时换算成3400万美元(截至本文撰写时,赎金价值超过8000万美元)。此外,Ryuk平均收到的赎金为48比特币。在法定货币中不是一个容易的过程,但Ryuk精心设置了一个隐蔽的资金流动链(下图),可以轻松洗钱和转移数亿美元的资金。加密货币交易所s该部分对于证明攻击和识别罪犯至关重要,因为信誉良好的交易所在将资金转移到银行账户之前需要个人文件。但是,目前尚不清楚火币和币安对个人文件的验证有多严格。Ryuk没有像许多其他勒索软件操作那样使用基于网络的聊天,而是为每个受害者准备了两个唯一的Protonmail地址并使用它们进行通信。由于分析师的知名度有限,很明显Ryuk背后的犯罪分子非常有商业头脑,知道受害者的身份、目的或支付能力。「评分」偿付能力评分,让经营者轻松了解标的是否盈利。Ryuk的攻击链Ryuk勒索病毒活跃了两年多,受害者不计其数。由于组织严密,外界对琉克的内部情况和利润几乎一无所知。另一个暴利的勒索软件团伙REvil(Sodinokibi),曾通过公开代表宣布,他们通过勒索受害者一年赚取1亿美元,总体目标是20亿美元,因此Ryuk的“业绩”很低,可能远远超过1.5亿美元。2020年11月之前,Ryuk的攻击主要集中在医疗行业,增加了COVID-19大流行的压力。去年第三季度,Ryuk平均每周攻击20家公司。此外,Ryuk以强硬的谈判者着称,让受害者几乎没有讨价还价的余地。对于勒索软件预防,安全专家建议首先防止感染前体恶意软件,例如Emotet或Zloader(勒索软件的主要分发渠道)。此外,所有远程访问点都应要求多重身份验证(MFA),并且应限制Office宏和远程访问工具。员工对网络钓鱼等网络威胁的意识培训对于远程办公已成为新常态的企业也尤为重要。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
