本文摘自《 Chainalysis 2021年加密犯罪報告》，點擊此處下載完整內(nèi)容。

網(wǎng)絡(luò)安全研究人員指出，許多進行攻擊的RaaS分支機構(gòu)在不同病毒之間進行切換，并且許多看似不同的病毒實際上是由同一個人控制的。從區(qū)塊鏈的角度分析，Chainalysis 團隊的研究人員研究了2020年最著名的四種勒索軟件之間的潛在聯(lián)系：Maze、Egregor、SunCrypt和Doppelpaymer。

這四種勒索病毒去年相當活躍，攻擊了Barnes & Noble、LG、Pemex和University Hospital New Jersey等知名機構(gòu)。這四家機構(gòu)都使用了RaaS模型，這意味著它們的分支機構(gòu)自己實施了勒索軟件攻擊，并將每個受害者支付的部分款項返還給病毒的創(chuàng)建者和管理員，這四家機構(gòu)還采用了“雙重勒索(double extortion)”策略。勒索軟件攻擊雖然談不上是什么新鮮事物，但在剛剛過去的2020年中，它正在漸漸成為各種規(guī)模、級別的企業(yè)或機構(gòu)的頭號威脅。

相比以往的勒索軟件攻擊，2020年的勒索軟件攻擊者們也對運營策略有所調(diào)整調(diào)整，一方面，各種規(guī)模的企業(yè)、機構(gòu)都會成為勒索軟件攻擊的對象，不同的勒索軟件運營組織在在攻擊對象的選擇上雖然有一些不同，但是綜合來看，其整體覆蓋面卻更加廣泛。另一方面，這些勒索軟件的攻擊者往往會選擇竊取數(shù)據(jù)與索要贖金的方式來對受害者進行雙重打擊，這種手段也被稱作是雙重勒索。

以下是2019年末以來這四家機構(gòu)的季度收入：

請注意，Egregor是在2020年第四季度(具體來說是9月中旬)之前才開始活躍的，即在Maze病毒變得不活躍之后不久。因此一些網(wǎng)絡(luò)安全研究人員認為這是Maze和Egregor在某些方面存在聯(lián)系的證據(jù)。11月初，Maze的運營商在其網(wǎng)站上發(fā)布了一份公告，稱由于活動放緩，該機構(gòu)已停止運營。不久之后，它的大多數(shù)機構(gòu)都遷移到了Egregor，導(dǎo)致一些人認為Maze經(jīng)營者只是簡單的將Maze更名為Egregor，并指示機構(gòu)加入。這是相對常見的勒索軟件，雖然它也可能是子機構(gòu)為自己決定的Egregor是他們的最佳選擇。甚至有可能是Maze分支機構(gòu)對Maze經(jīng)營者感到不滿，導(dǎo)致了分裂。然而，正如Bleeping Computer所指出的，Maze和Egregor共享了許多相同的代碼，相同的勒索信的內(nèi)容，并且擁有非常相似的受害者支付網(wǎng)站。網(wǎng)絡(luò)安全機構(gòu)Recorded Future也注意到了這一點，而且Egregor和一個名為QakBot的銀行木馬也有相似之處。

也不僅僅是Egregor，在另一個攻擊事件中，Bleeping Computer聲稱Suncrypt的代表聯(lián)系了他們，聲稱在Maze宣布關(guān)閉之前，他們屬于“Maze勒索軟件卡特爾”的一部分，盡管Maze否認了這一點。然而，威脅情報機構(gòu)Intel471 私下傳播的一份報告也支持了這種說法。該報告稱，SunCrypt的代表將他們的變種描述為“一個知名勒索病毒變種的重寫和重新命名版本”。Intel471的報告還稱，SunCrypt一次只與少數(shù)幾個子機構(gòu)合作，SunCrypt運營商對這些子機構(gòu)進行了廣泛的采訪和審查。因此，研究人員認為，SunCrypt和其他勒索軟件之間的任何分支重疊，更有可能表明這兩個病毒之間有更深層次的聯(lián)系，而不僅僅是巧合。

區(qū)塊鏈分析表明在Maze、Egregor、SunCrypt和Doppelpaymer之間存在各種重疊和其他可能的聯(lián)系。

正如研究人員所述，有間接證據(jù)表明這四種病毒之間的聯(lián)系，以及相關(guān)衍生產(chǎn)品的報告。但是我們在區(qū)塊鏈上看到了什么鏈接呢?讓我們從Maze和SunCrypt開始。

上面的Chainalysis Reactor圖表提供了有力的證據(jù)，這表明Maze勒索軟件的機構(gòu)也是SunCrypt的機構(gòu)。從圖的底部開始，我們可以看到Maze是如何分配在勒索軟件攻擊中獲取的資金的。首先，每一次成功的贖金支付的大部分都進入了機構(gòu)，因為他們承擔(dān)了實際實施勒索軟件攻擊的風(fēng)險。第二大的攻擊是來自第三方的，雖然我們不能確定第三方的角色是什么，但我們相信它可能是一個輔助服務(wù)提供商，幫助Maze完成攻擊。勒索軟件攻擊者通常依賴于第三方的工具，如防彈托管、滲透測試服務(wù)或訪問受害者網(wǎng)絡(luò)中的漏洞。這些輔助服務(wù)提供商可以在網(wǎng)絡(luò)犯罪的暗網(wǎng)(darknet)論壇上銷售他們的產(chǎn)品，但并不一定參與了所有的勒索軟件攻擊。最后，每筆贖金中最小的一部分進入了另一個錢包，研究人員認為這個錢包屬于病毒管理人員。

但是在本文的示例中，研究人員看到Maze子公司還通過中介錢包向大約疑似SunCrypt管理員地址發(fā)送了資金(約9.55比特幣，價值超過90000美元)，研究人員將其認定為已整合錢包的一部分與幾種不同的SunCrypt攻擊有關(guān)的資金。這表明Maze關(guān)聯(lián)公司還是SunCrypt的關(guān)聯(lián)公司，或者可能以其他方式參與SunCrypt。

另一個Reactor圖顯示了Egregor和Doppelpaymer勒索軟件病毒之間的聯(lián)系。

在這個案例中，研究人員看到Egregor錢包向疑似Doppelpaymer管理員錢包發(fā)送了大約78.9比特幣，價值約85萬美元。盡管目前研究人員還不能確定，但這是另一個重疊的示例。研究人員的假設(shè)是，貼有Egregor標簽的錢包是兩家機構(gòu)的機構(gòu)向Doppelpaymer的管理員發(fā)送資金。

最后，下面的Reactor圖顯示了研究人員認為是Maze和Egregor管理員使用相同的洗錢基礎(chǔ)設(shè)施的一個示例。

這兩種“受害者支付”錢包都通過中間錢包將資金發(fā)送到一個著名加密貨幣交易所的兩個存款地址。根據(jù)他們的交易模式，我們認為這兩個存款地址都屬于場外(OTC)經(jīng)紀人，他們專門幫助勒索軟件運營商和其他網(wǎng)絡(luò)犯罪分子用非法獲得的加密貨幣交易現(xiàn)金。以Maze為例，這些資金在到達OTC地址之前先流經(jīng)另一個涉嫌洗錢服務(wù)，尚不清楚Maze是從該服務(wù)還是從OTC本身接收現(xiàn)金，而且OTC經(jīng)紀人和進行洗錢的人也很可能服務(wù)是一樣的。

雖然這并不意味著Maze和Egregor擁有相同的管理員或機構(gòu)，但這仍然是執(zhí)法部門的重要潛在線索。如果沒有辦法將不義之財轉(zhuǎn)化為現(xiàn)金，那么與加密貨幣相關(guān)的犯罪就沒有必要進行了。通過監(jiān)視上圖所示的洗錢服務(wù)機構(gòu)或腐敗的場外交易經(jīng)紀人等不良行為者(后者又在一個大型的知名交易所中開展業(yè)務(wù))，執(zhí)法部門可能會嚴重阻礙Maze和Egregor盈利的能力卻沒有真正抓住菌株的管理員或分支機構(gòu)。也不僅僅是那些特定的勒索軟件。

涉嫌洗錢服務(wù)還從Doppelpaymer，WastedLocker和Netwalker勒索軟件中獲得了資金，整個類別的加密貨幣價值近290萬美元。同樣，它從Hydra和FEShop等暗網(wǎng)市場獲得了價值近65萬美元的加密貨幣，圖上的兩個OTC經(jīng)紀人地址也有類似的犯罪風(fēng)險。

雖然研究人員不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理員，但可以肯定地說，他們中的一些人有共同的機構(gòu)，研究人員還知道Maze和Egregor依靠相同的OTC經(jīng)紀人將加密貨幣轉(zhuǎn)換為現(xiàn)金，盡管他們是以不同的方式與這些經(jīng)紀人互動。

本文翻譯自：

https://blog.chainalysis.com/reports/ransomware-connections-maze-egregor-suncrypt-doppelpaymer