2020年，199個(gè)比特幣錢包地址接收了勒索軟件組織所有贖金的80%。在這199個(gè)地址中，有25個(gè)超級(jí)賬戶收集了46%的贖金。

[[380075]]

Chainalysis是一家區(qū)塊鏈分析軟件公司，負(fù)責(zé)監(jiān)控公共加密貨幣的走勢(shì)并向執(zhí)法機(jī)構(gòu)提供工具，該公司追蹤了通過(guò)已知勒索軟件錢包轉(zhuǎn)移的價(jià)值超過(guò)3.486億美元的比特幣資金流向。

根據(jù)Chainalysis近日發(fā)布的分析報(bào)告，勒索軟件加密貨幣贖金付款在2020年猛增311%，大型企業(yè)的贖金動(dòng)輒超過(guò)1000萬(wàn)美元，總金額接近3.5億美元(下圖)：

雖然勒索軟件的攻擊頻率和贖金規(guī)模不斷增長(zhǎng)，但是勒索軟件黑市經(jīng)濟(jì)卻呈現(xiàn)高度集中化的趨勢(shì)，少數(shù)勒索軟件集團(tuán)通過(guò)RaaS等租賃和加盟模式獲取了絕大多數(shù)的利潤(rùn)，下圖是過(guò)去6年收入最高的六大勒索軟件幫派的營(yíng)收統(tǒng)計(jì)：

調(diào)查發(fā)現(xiàn)，勒索軟件攻擊者將絕大部分贖金資金(約82%)轉(zhuǎn)移到了加密貨幣交易所和混合器，所謂混合器就是將各種來(lái)源的加密貨幣混合在一起以隱藏其來(lái)源的服務(wù)。攻擊者將其他資金投資到特定的比特幣存款地址，其功能類似于虛擬貨幣的公共銀行賬戶。

由于勒索軟件RaaS服務(wù)的興起，看似生態(tài)繁榮的勒索軟件市場(chǎng)(下圖)實(shí)際上大多數(shù)幫派是少數(shù)幫派控制的“馬甲”或者“加盟商”。三大勒索軟件—Ryuk、Maze和Doppelpaymer占所有已知贖金付款的一半以上。

勒索軟件如此猖獗的原因之一是大多攻擊者逃避了法律制裁(例如，與受害者不在同一個(gè)司法管轄區(qū))。但是，如果大多數(shù)大型黑客組織都從少數(shù)已知比特幣錢包中獲取和兌現(xiàn)資金，這可能會(huì)切斷調(diào)查人員追溯贖金流動(dòng)的機(jī)會(huì)。

根據(jù)報(bào)告(上圖)，勒索軟件攻擊者將從受害者那里獲得的大部分資金轉(zhuǎn)移到主流交易所、高風(fēng)險(xiǎn)交易所(這意味著那些沒(méi)有遵從或不存在合規(guī)標(biāo)準(zhǔn)的交易所)和混合器中。但是，勒索軟件的洗錢基礎(chǔ)設(shè)施可能只受幾個(gè)關(guān)鍵參與者的控制，類似于勒索軟件本身的情況。

報(bào)告指出，大多數(shù)資金流入相同的比特幣錢包地址表明，不同勒索軟件在使用相同的洗錢服務(wù)，這些信息可被用來(lái)分析勒索軟件幫派之間的關(guān)系，正因如此前業(yè)界通過(guò)分析錢包地址推斷Egregor實(shí)際上就是換了個(gè)馬甲的Maze(已宣布停止活動(dòng))。此外，勒索軟件共用洗錢服務(wù)的事實(shí)對(duì)于執(zhí)法者也是重要信息，這意味著通過(guò)掐斷一個(gè)洗錢基礎(chǔ)設(shè)施，能夠破壞多個(gè)勒索軟件活動(dòng)，特別是其變現(xiàn)和使用加密貨幣的能力。

金·格勞爾指出：“如果(加密貨幣贖金)沒(méi)有辦法兌現(xiàn)(成法幣)，那么(受害者)就有可能收回他們已經(jīng)支付的贖金。”

初步證據(jù)表明，少數(shù)勒索軟件運(yùn)營(yíng)商正向長(zhǎng)期合作者定期付款，或使用相同的存款地址來(lái)洗錢。Chainalysis研究負(fù)責(zé)人金·格勞爾指出：“我們看到了非法資金的去向。如果一個(gè)賬戶持續(xù)收到贖金付款的60%，就基本可以判定該地址屬于勒索軟件的會(huì)員。”

除了洗錢服務(wù)外，勒索軟件運(yùn)營(yíng)者還向以下三類提供商發(fā)送加密貨幣，包括：

• 滲透測(cè)試服務(wù)：勒索軟件運(yùn)營(yíng)商使用它來(lái)探測(cè)潛在受害者的網(wǎng)絡(luò)中的弱點(diǎn);
• 漏洞利用和訪問(wèn)權(quán)限賣方(經(jīng)紀(jì)人)：負(fù)責(zé)向勒索軟件運(yùn)營(yíng)商和其他網(wǎng)絡(luò)罪犯出售各種軟件漏洞或訪問(wèn)權(quán)限，可以用來(lái)向受害者的網(wǎng)絡(luò)注入惡意軟件;
• 防彈托管提供商：允許網(wǎng)絡(luò)犯罪分子匿名購(gòu)買，并提供“防彈托管”的服務(wù)商。勒索軟件運(yùn)營(yíng)商通常需要網(wǎng)絡(luò)托管來(lái)設(shè)置命令和控制(C2)域名，黑客通過(guò)該域名允許將命令發(fā)送到感染惡意軟件的受害者的計(jì)算機(jī)。

參考資料：https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文