最近,美国威胁情报公司Advanced Intelligence威胁英国情报公司HYAS追踪了来自Ryuk勒索软件受害者的(加密货币)资金后,发现犯罪组织至少赚了钱1.5亿美元。
研究人员跟踪归因于Ryuk恶意软件团伙的61个比特币钱包发现,加密货币已从中介交易所转移到亚洲交易所Huobi和Binance,这可能有助于他们摆脱审查。
他们发现Ryuk运营商主要使用上述两种法定加密货币交易所从受害者支付的法定货币中兑现比特币。
当Ryuk当受害者支付赎金时,钱将首先转移给经纪人,然后转移给恶意软件运营商。然后,钱将首先通过洗钱服务,然后进入合法的加密货币交易所,或用于支付地下市场的犯罪服务费。
“除了火币和货币安全这两个大型交易所,还有大量的加密货币流入一些资本规模非常小的地址,这可能是一种犯罪服务——本地货币或其他数字货币的加密货币交换(清洗)。”研究人员解释说。
研究人员在报告中透露,在调查中发现的Ryuk最大的赎金的最大赎金交易超过1200万美元(365比特币)。但这还没有支付Ryuk最高赎金。
之前Advanced Intelligence报告中曝光的最大赎金是2,200BTC,当时兑换成3400万美元(截至本文,赎金价值超过8000万美元)。Ryuk平均赎金金额为48个比特币。
用法定货币兑现赎金不是一个简单的过程,但是Ryuk虽然安全研究人员和执法部门密切关注他们的活动,但他们仍然可以轻松地清理和转移数百万美元的资金。
加密货币兑换对攻击追溯和识别罪犯至关重要,因为信誉良好的交易所需要在将资金转移到银行账户之前提交个人文件。然而,目前还不清楚Huobi和Binance严格验证个人文件。
Ryuk不像许多其他勒索软件操作那样使用Web聊天,但为每个受害者准备了两个唯一的Protonmail地址,并使用它们进行通信。显然,由于分析师的可见性有限,Ryuk背后的罪犯很有商业头脑,对受害者的身份、目的或支付能力了如指掌,Ryuk甚至为每个攻击目标/受害者设置类似的目标“芝麻信用分”偿付能力积分,让操作员很容易知道目标是否有利可图。
Ryuk的攻击链
Ryuk勒索软件已经活跃了两年多,受害者数不胜数。由于组织严密,外界对Ryuk内部情况和利润几乎一无所知。另一个利润丰厚的勒索软件团伙REvil(Sodinokibi)一位面向公众的代表宣布,他们在一年内通过勒索受害者赚了1亿美元,总目标是赚20亿美元,所以Ryuk的“业绩”可能远不止1.5亿美元。
2020年11月之前,Ryuk攻击主要集中在医疗行业,这加剧了新冠肺炎流行的压力。去年第三季度,Ryuk平均每周攻击20家公司。Ryuk以强硬的谈判态度,受害者几乎没有讨价还价的余地。
对于勒索软件的预防,安全专家建议首先要防止被勒索软件等Emotet或Zloader前体恶意软件感染(勒索软件的主要交付渠道)。此外,所有远程访问点都需要多因素身份验证(MFA),并且应限制Office红河远程访问工具。对于远程办公成为新常态的企业来说,培养网络钓鱼等网络威胁的人员安全意识尤为重要。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章