让美国半数输油管道瘫痪,“逼迫”拜登政府总统的行政命令。谁也想不到,勒索软件组织DarkSide在5月份掀起的一场“勒索风暴”,对全球网络安全行业的影响堪比斯诺登、震网等里程碑事件。在防范和预测像DarkSide这样的“极端天气”网络攻击之前,业界迫切需要对DarkSide的操作方式和赎金支付流程进行深入研究。DarkSide是如何在短时间内(不到一年)通过勒索软件攻击获利和洗钱数千万美元的?而他们在袭击成功后又是如何不留痕迹的呢?近日,Anchain.AI创始人兼CEO方春生(Dr.VictorFang)与Law&ForensicsLLC联合创始人DanielGarrie(福布斯专家委员会成员,最权威的勒索软件律师之一)共同-撰文破译DarkSide鲜为人知的“赎金冲洗过程”,授权安全牛牛独家中文报道如下:总部位于旧金山的区块链网络安全公司AnChain.AI一直在追踪破坏ColonialPipeline5,500的臭名昭著的Darkside勒索软件英里的石油管道,导致美国东南部发生大屠杀。燃料短缺。AnChain.AI与领先的网络安全法律专家兼法律技术公司Law&F??orensicsLLC的联合创始人DanielGarrieEsq合作,独家揭示了DarkSide勒索软件攻击迄今为止最深入的区块链取证时间线,以及DarkSide如何使用Coinjoin混淆比特币赎金的混合策略。众所周知,加密货币是勒索软件的理想支付工具,并且在未来的攻击中仍将如此。本文阐明了企业、个人、VASP(加密货币交易平台)和政府如何更好地为下一波勒索软件攻击做准备。DarkSide如何“耗尽”比特币下面的时间线显示了DarkSide黑客组织如何在3月4日至5月13日期间使用大约30个比特币地址的钱包集群发起针对ColonialPipeline的勒索软件活动。Day已经活跃了70天,收到的赎金总额超过300个比特币,价值超过1600万美元。赎金来自ColonialPipeline、Brenntag和其他未具名的受害者。图1:DarkSide勒索比特币流程时间线钱包集群当前余额为0,已排除嫌疑。大多数勒索软件自5月13日以来一直处于休眠状态。自5月1日以来,黑客一直在通过一种名为Coinjoin的复杂混合技术清洗从勒索软件活动中获得的比特币。Coinjoin是一种加密货币算法系统,可以让传统的货币追踪方式完全无用。但是通过AnChain.AI的自动跟踪AI,我们仍然能够揭示Coinjoin的策略并追踪其复杂的洗钱路径,如下图所示。图2:DarkSide自2021年5月1日起的BitcoinCoinjoin混币路径图3:5月1日DarkSide黑客洗钱相关的BitcoinCoinjoin交易如图所示,在此次操作中迷茫如何防御DarkSide勒索病毒?针对不同的角色,我们推荐以下对策:1.企业和个人:杀毒软件仍然是抵御DarkSide勒索软件最有效的手段。根据VirusTotal(一家谷歌公司)的数据,69家AV端点供应商中有60家检测到了Darkside恶意软件,包括FireEye、赛门铁克、迈克菲和微软。然而,截至撰写本文时(5月19日),来自百度、腾讯、奇虎360和Yandex(总部位于俄罗斯)的安全产品仍然未被检测到。AnChain.AI敦促所有网络安全供应商更新其恶意软件检测引擎中的DarkSide。FireEyeMandiant刚刚发布了一篇关于DarkSide恶意软件操作的技术博客。除了防病毒软件外,企业拥有一份定期测试的书面网络安全事件响应计划也很重要。一个好的事件响应计划将制定协议来协调事件响应团队、业务利益相关者、内部和外部顾问以及其他相关利益相关者。许多组织使用特定于勒索软件事件响应计划的独特技术来应对勒索软件攻击。任何组织的关键是制定适合人类和技术环境的业务和法律方面的事件响应计划。此外,必须使用桌面练习或勒索软件模拟定期测试事件响应计划。2.加密行业,VASP:明确打击加密货币洗钱活动。正如AnChain.AI所确定的那样,DarkSide黑客组织一直在清洗从ColonialPipeline勒索软件活动中获得的比特币。需要确保链上反洗钱过滤引擎的完整性和预防性,以完全符合您所在监管辖区的要求,例如美国的OFAC、FinCEN、SEC和OCC;新加坡金融管理局;欧盟的5AMLS。3.政府和监管机构:大多数司法管辖区一直在执行其加密货币反洗钱法规。加密货币很难监管,但并非不可能。基于UTXO和智能合约的混合方法,以及拥有数十亿资金的匿名加密货币地址空间,使得政府和监管机构(如OFAC)难以有效防御这种新兴的网络威胁。例如,对于使用加密货币作为支付手段的老练的网络犯罪分子和恐怖分子来说,OFAC制裁名单总是晚了一步。在5月12日DarkSide攻击爆发期间,美国总统拜登签署了一项改善国家网络安全的白宫行政命令。该行政命令明确定义了网络安全周期和响应贡献(CCCC)的不同阶段,其中特别强调入侵防御、检测和响应对勒索软件防御至关重要。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
