Sodinokibi勒索軟件:追蹤會員資金追蹤
責編:gltian |2019-10-18 14:11:14在Sodinokibi勒索軟件會員發布用于勒索軟件付款的部分交易ID之后,研究人員便能夠使用該信息跟蹤會員的資金蹤跡,在某些情況下還可以了解他們如何使用其非法收入。
本月初,邁克菲介紹了GandCrab Ransomware作為會員的運營情況,以及在GandCrab?關閉?后?Sodinokibi Ransomware?如何招募業績最好的人來建立一個?全明星的會員團隊?。
作為此報告的一部分,它顯示了名為Lalartu的分支機構如何在地下惡意軟件和黑客論壇上擔保Sodinokibi Ransomware RaaS。
在一份新報告中,邁克菲的研究人員通過根據以上會員發布的交易ID跟蹤會員的資金追蹤,繼續對Sodinokibi Ransomware進行分析。
資金跟蹤
在研究Sodinokibi Ransomware會員時,?McAfee?從該會員名為Lalartu的會員?那里找到了?另一個論壇帖子,該會員以前曾擔保過RaaS。
在此論壇帖子中,該會員發布了部分交易ID的屏幕快照,在72小時內支付了大約287,499.00美元的贖金。
會員發布的交易?(來源:McAfee)
通過查看勒索軟件的現有樣本,McAfee能夠確定平均勒索付款在.44到.45比特幣之間,相當于約4,000美元。該平均價格還與Lalartu屏幕截圖中顯示的贖金付款相關。
在?區塊?鏈數據分析公司?Chainalysis?的幫助下,邁克菲能夠從會員的帖子中檢索完整的交易ID,并使用它們來映射與這些贖金和會員付款相關的比特幣交易。
映射勒索付款?(來源:McAfee)
這些信息隨后成為McAfee研究Sodinokibi RaaS及其關聯公司的比特幣交易的起點。
邁克菲公司網絡調查負責人約翰·福克爾(John Fokker)在一次談話中對BleepingComputer表示:“拉拉圖的付款是一個開始,我們從那里開始了。”?“查看會員,并根據付款部分等,我們向上游看了看開發商部分。”
從收集到的信息中,邁克菲能夠查看其他勒索軟件付款的情況,以及會員和RaaS運營商之間的60/40或70/30收入分配。
“我們看到受害者向他們分配的錢包付款;從那里開始,平均需要進行兩到三筆交易,然后轉到“附屬”或“分配”錢包。從那個錢包中,我們看到分裂的發生是因為“ UNKN”這個綽號在他的論壇帖子中,我們從這篇文章開始。60%或70%的會員留在該會員,其余40/30%的會員通過多筆交易轉發給Sodinokibi背后的參與者。”
通過深入研究其他Sodinokibi分支機構的比特幣交易,McAfee能夠更好地了解勒索軟件分發者如何利用其不義之財。
例如,下面的會員將少量的未知服務和大量的服務轉移到了Bitmix混合器,以嘗試使追蹤這些硬幣變得更加困難。
跟蹤會員的交易?(來源:McAfee)
邁克菲(McAfee)看到其他會員使用比特幣在地下市場上購買服務。這些市場接受用于毒品,武器和黑客服務等非法物品的比特幣。
更令人擔憂的是,McAfee能夠追蹤到的較大的關聯公司之一的錢包里裝有443 BTC或約450萬美元,表明他們是一個重要參與者。
“沿著一個特定會員的蹤跡,我們最終看到大量比特幣被轉移到一個總價值為443 BTC的錢包中,平均比特幣價格約為450萬美元。”
比特幣交易顯然變得不那么匿名了
比特幣的創建是一種去中心化的方法,它可以發送付款并為買賣雙方提供更大程度的隱私,同時還提供諸如Chainalysis等新服務,但隱私正在逐漸消失。
這些服務使用已經確定的比特幣地址的大型數據庫,使執法部門可以更輕松地跟蹤比特幣的使用方式。
根據據稱Chainalysis員工已刪除的Reddit AMA的說法,在某些情況下,這些服務還可以用于?跟蹤發件人和收件人的IP地址?。
使用IP地址,執法人員可以更輕松地追蹤比特幣交易中使用的機器以及潛在的相關用戶。
轉載自安全加:http://toutiao.secjia.com/article/page?topid=112052