2020199年,勒索软件组织所有赎金的80%收到了199个比特币钱包地址。在这199个地址中,有25个超级账户收集了46%的赎金。
Chainalysis是一家区块链分析软件公司,负责监控公共加密货币的走势并向执法机构提供工具,该公司追踪了通过已知勒索软件钱包转移的价值超过3.486比特币资本流向1亿美元。
根据Chainalysis根据最近发布的分析报告,2020年勒索软件加密货币赎金支付飙升311%,大企业赎金往往超过1000万美元,总金额接近3.51亿美元(下图):
虽然勒索软件的攻击频率和赎金规模不断增加,但勒索软件黑市经济呈现出高度集中的趋势,少数勒索软件集团通过RaaS等租赁和加盟模式获取了绝大多数的利润,下图是过去6年收入最高的六大勒索软件帮派的营收统计:
调查发现,勒索软件攻击者将大部分赎金资金(约82%)转移到加密货币交易所和混合器。所谓混合器,就是将各种来源的加密货币混合在一起,以隐藏其来源。攻击者将其他资金投资于特定的比特币存款地址,其功能类似于虚拟货币的公共银行账户。
因为勒索软件RaaS看似生态繁荣的勒索软件市场(下图)的兴起,其实大部分帮派都是少数帮派控制的。“马甲”或者“加盟商”。三大勒索软件—Ryuk、Maze和Doppelpaymer已知赎金的一半以上。
勒索软件如此猖獗的原因之一是,大多数攻击者逃避了法律制裁(例如,与受害者不在同一司法管辖范围内)。然而,如果大多数大型黑客组织从少数已知的比特币钱包中获得和兑现资金,这可能会切断调查人员追溯赎金流动的机会。
根据报告(上图),勒索软件攻击者将从受害者那里获得的大部分资金转移到主流交易所、高风险交易所(这意味着没有遵守或没有合规标准的交易所)和混合器。然而,勒索软件的洗钱基础设施可能只由几个关键参与者控制,类似于勒索软件本身。
报告指出,大多数资金流入相同的比特币钱包地址表明,不同的勒索软件使用相同的洗钱服务,这些信息可以用来分析勒索软件帮派之间的关系,因此行业通过分析钱包地址推断Egregor其实换马甲就是换马甲Maze(已宣布停止活动)。此外,勒索软件共享洗钱服务的事实也是执法人员的重要信息,这意味着通过切断洗钱基础设施,可以破坏多种勒索软件活动,特别是实现和使用加密货币的能力。
金·格劳尔指出:“若(加密货币赎金)无法兑现(成法币),则(受害者)有可能收回其已支付的赎金。”
初步证据表明,少数勒索软件运营商定期向长期合作伙伴付款,或使用相同的存款地址进行洗钱。Chainalysis研究负责人金·格劳尔指出:“我们看到了非法资金的下落。如果一个账户继续收到60%的赎金,基本上可以判断该地址是勒索软件的会员。”
勒索软件运营商除了洗钱服务外,还向以下三供应商发送加密货币,包括:
- 渗透测试服务:勒索软件运营商利用它来探索潜在受害者网络中的弱点;
- 卖方(经纪人):负责向勒索软件运营商和其他网络罪犯出售各种软件漏洞或访问权,可用于向受害者网络注入恶意软件;
- 防弹托管提供商:允许网络犯罪分子匿名购买并提供“防弹托管”服务提供商。勒索软件运营商通常需要网络托管来设置命令和控制(C2)该域名允许黑客将命令发送到感染恶意软件的受害者的计算机。
参考资料:https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章