2020年,199个比特币钱包地址收到了80%的勒索勒索组织。在这199个地址中,25个超级账户收取了46%的赎金。Chainalysis是一家区块链分析软件公司,负责监控公共加密货币的动向并为执法机构提供工具,通过已知的勒索软件钱包追踪了价值超过3.486亿美元的比特币资金的动向。据Chainalysis近期发布的一份分析报告显示,2020年加密货币勒索软件勒索金额猛增311%,大型企业勒索金额往往超过1000万美元,总额近3.5亿美元(下):虽然勒索软件攻击频率和勒索软件规模持续增长,但勒索软件黑市经济呈现高度集中化趋势。少数勒索软件集团通过RaaS等租赁、特许经营模式获取绝大部分利润。下图显示了过去6年收入最高的前6名勒索软件该团伙的收入统计:勒索软件攻击者将绝大多数赎金资金(约82%)转移到加密货币交易所和混合器,它们混合来自各种来源的加密货币以隐藏它源自的服务。攻击者将其他资金投入特定的比特币存款地址,这些地址的功能类似于虚拟货币的公共银行账户。由于勒索软件RaaS服务的兴起,看似生态繁荣的勒索软件市场(下图)实际上是少数帮派控制的多数帮派。三大勒索软件——Ryuk、Maze和Doppelpaymer——占所有已知赎金支付的一半以上。勒索软件如此猖獗的原因之一是大多数攻击者都会逃避法律(例如,与受害者不在同一司法管辖区)。但是,如果大多数大型黑客组织都从少数已知的比特币钱包中获取和套现资金,这可能会切断调查人员追踪赎金流向的机会。根据报告(上图),勒索软件攻击者将从受害者那里收到的大部分资金转移到主流交易所、高风险交易所(即那些不遵守或不符合合规标准的交易所)和混合设备。然而,勒索软件的洗钱基础设施可能仅受少数关键参与者的控制,类似于勒索软件本身的情况。报告指出,大部分资金流入同一个比特币钱包地址,表明不同的勒索软件在使用相同的洗钱服务,这一信息可以用来分析勒索软件团伙之间的关系。Egregor实际上是穿着不同背心的迷宫(宣布无效)。此外,勒索软件共享洗钱服务这一事实是执法部门的重要信息,这意味着通过关闭一个洗钱基础设施,可以破坏多个勒索软件活动,尤其是它们货币化和使用加密货币的能力。KimGrauer指出:“如果没有办法兑现(兑换成法定货币),那么(受害者)就有可能取回他们支付的赎金。”初步证据表明,少数勒索软件运营商正朝着合作者的方向进行定期付款,或使用相同的存款地址进行洗钱。Chainalysis研究负责人KimGrauer指出:“我们看到了非法资金的去向。如果一个账户持续收到60%的赎金付款,基本上可以确定该地址属于勒索软件的成员”除了洗钱服务,勒索软件运营商还向三类提供商发送加密货币,包括:渗透测试服务:勒索软件运营商使用它来探测潜在受害者网络的弱点;利用和访问卖家(经纪人):负责销售各种软件漏洞或访问勒索软件运营商和其他网络犯罪分子,可用于将恶意软件注入受害者的网络;防弹主机提供商:允许网络犯罪分子匿名购买并提供“防弹主机”服务的企业。勒索软件运营商通常需要网络托管来设置命令和控制(C2)域,黑客通过该域允许将命令发送到感染恶意软件的受害者的计算机。参考资料:https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号)id:gooann-sectv)获取授权】戳这里查看作者更多好文
