本文节选自《 Chainalysis 2021年加密犯罪报告》,点击此处下载全文。网络安全研究人员指出,许多进行攻击的RaaS附属公司在不同病毒之间切换,许多看似不同的病毒实际上是由同一个人控制的。Chainalysis团队的研究人员从区块链的角度进行分析,研究了2020年最著名的四种勒索软件之间的潜在联系:Maze、Egregor、SunCrypt和Doppelpaymer。这四款勒索软件去年相当活跃,先后攻击过Barnes&Noble、LG、Pemex、UniversityHospitalNewJersey等知名机构。这四个组织都使用了RaaS模型,这意味着它们的附属机构自己进行了勒索软件攻击,并将每个受害者支付的一部分返还给病毒的创建者和管理员。“双重勒索”策略。勒索软件攻击虽然不是什么新鲜事,但在刚刚过去的2020年,它正逐渐成为各种规模和级别的企业或组织的头号威胁。与以往的勒索病毒攻击相比,2020年的勒索病毒攻击者也调整了操作策略。一方面,各种规模的企事业单位都将成为勒索软件攻击的目标。不同的勒索软件运营机构虽然在攻击目标的选择上存在一些差异,但总体覆盖范围更为广泛。另一方面,这些勒索软件的攻击者往往会选择窃取数据并索要赎金来对受害者进行双重打击。这种方法也称为双重勒索。以下是这四家机构自2019年底以来的季度收入:请注意,Egregor仅在2020年第四季度(具体而言是9月中旬)之前才开始活跃,在Maze病毒变得不活跃后不久。因此,一些网络安全研究人员将此视为Maze和Egregor之间存在某种联系的证据。11月初,Maze的运营商在其网站上发布公告称,由于活动放缓,该机构已停止运营。不久之后,其大部分机构迁移到Egregor,导致一些人认为Maze运营商只是将Maze更名为Egregor,并指示机构加入。这是一种相对常见的勒索软件,尽管子机构也可能自行决定Egregor是他们的最佳选择。甚至有可能是Maze分支对Maze操作员不满意,导致分裂。然而,正如BleepingComputer指出的那样,Maze和Egregor共享许多相同的代码、相同的赎金票据内容,并且具有非常相似的受害者支付站点。网络安全机构RecordedFuture也注意到了这一点,Egregor与名为QakBot的银行木马有相似之处。也不只是Egregor。在另一次攻击中,BleepingComputer声称Suncrypt的代表联系了他们,声称他们在Maze宣布关闭之前是“Maze勒索软件卡特尔”的一部分,尽管Maze否认了这一点。然而,威胁情报机构Intel471私下流传的一份报告也支持了这一说法。根据该报告,SunCrypt代表将他们的变体描述为“一个众所周知的勒索软件变体的重写和重命名版本”。Intel471报告还称,SunCrypt一次只与少数几个子机构合作,并且SunCrypt运营商对这些子机构进行了广泛的采访和审查。因此,研究人员认为,SunCrypt与其他勒索软件之间的任何分支重叠都更有可能表明这两种病毒之间存在更深层次的联系,而不仅仅是巧合。区块链分析揭示了Maze、Egregor、SunCrypt和Doppelpaymer之间的各种重叠和其他可能的联系。正如研究人员所指出的,有间接证据表明这四种病毒之间存在联系,以及相关衍生物的报告。但是我们在区块链上看到了什么链接?让我们从Maze和SunCrypt开始。上面的ChainalysisReactor图表有力地证明了Maze勒索软件的代理机构也是SunCrypt的代理机构。从图表的底部开始,我们可以看到Maze如何分配在勒索软件攻击中获得的资金。首先,每笔成功的赎金支付中的大部分都支付给了机构,因为它们承担了实际执行勒索软件攻击的风险。第二大攻击来自第三方,虽然我们无法确定第三方的作用是什么,但我们认为可能是帮助Maze完成攻击的辅助服务提供商。勒索软件攻击者通常依赖第三方工具,例如防弹托管、渗透测试服务或访问受害者网络中的漏洞。这些辅助服务提供商可以在网络犯罪的暗网论坛上销售他们的产品,但不一定参与所有勒索软件攻击。最后,每笔赎金中的最小部分都转到了另一个钱包,研究人员认为该钱包属于病毒管理人员。但在本文的例子中,研究人员看到,Maze子公司还通过中间钱包向一个疑似SunCrypt管理员的地址发送了资金(约9.55个比特币,价值超过90,000美元),研究人员确定该地址属于该地址集成钱包。部分资金与几种不同的SunCrypt攻击有关。这表明Maze附属公司也是SunCrypt附属公司,或者可能与SunCrypt有其他关联。另一个Reactor图显示了Egregor和Doppelpaymer勒索软件病毒之间的联系。在这种情况下,研究人员看到Egregor钱包向可疑的Doppelpaymer管理员钱包发送了大约78.9个比特币,价值约850,000美元。这是重叠的另一个例子,尽管研究人员目前还不能确定。研究人员的假设是,带有Egregor标签的钱包是两家机构的机构向Doppelpaymer的管理员发送资金。最后,下面的Reactor图显示了研究人员认为Maze和Egregor管理员使用相同洗钱基础设施的示例。这两个“受害者支付”钱包都通过中介钱包将资金发送到知名加密货币交易所的两个存款地址。根据他们的交易模式,我们认为这两个存款地址都属于场外交易(OTC)经纪人,他们专门帮助勒索软件运营商和其他网络犯罪分子将非法获得的加密货币交易为现金。在Maze的案例中,资金在到达场外交易地址之前流经了另一家涉嫌洗钱的服务机构。目前尚不清楚Maze是从该服务还是从场外交易本身收到现金,而且场外交易经纪人和洗钱服务的人也很可能是同一个人。虽然这并不意味着Maze和Egregor拥有相同的管理员或机构,但它仍然是执法部门的重要潜在线索。如果没有办法将不义之财转化为现金,就没有必要进行与加密货币相关的犯罪。通过监控上图所示的洗钱服务或腐败的场外交易经纪人(他们又在一家大型知名交易所经营)等不良行为者,执法部门可能会严重阻碍Maze和Egregor的盈利能力,而无需实际抓住该菌株的管理员或分支机构。也不只是那个特定的勒索软件。涉嫌洗钱服务还从Doppelpaymer、WastedLocker和Netwalker勒索软件中获得资金,整个类别价值近290万美元的加密货币。同样,它从Hydra和FEShop等暗网市场获得了价值近650,000美元的加密货币,图中的两个场外交易经纪人地址也存在类似的犯罪风险。虽然研究人员无法确定Maze、Egregor、SunCrypt或Doppelpaymer是否拥有相同的管理员,但可以肯定地说其中一些拥有共同的机构,而且研究人员还知道Maze和Egregor依靠相同的场外交易经纪人进行转账加密货币转换为现金,尽管它们以不同的方式与这些经纪人互动。本文翻译自:https://blog.chainalysis.com/reports/ransomware-connections-maze-egregor-suncrypt-doppelpaymer
