Sodinokibi勒索軟件:追蹤會(huì)員資金追蹤
責(zé)編:gltian |2019-10-18 14:11:14在Sodinokibi勒索軟件會(huì)員發(fā)布用于勒索軟件付款的部分交易ID之后,研究人員便能夠使用該信息跟蹤會(huì)員的資金蹤跡,在某些情況下還可以了解他們?nèi)绾问褂闷浞欠ㄊ杖搿?/p>
本月初,邁克菲介紹了GandCrab Ransomware作為會(huì)員的運(yùn)營(yíng)情況,以及在GandCrab?關(guān)閉?后?Sodinokibi Ransomware?如何招募業(yè)績(jī)最好的人來(lái)建立一個(gè)?全明星的會(huì)員團(tuán)隊(duì)?。
作為此報(bào)告的一部分,它顯示了名為L(zhǎng)alartu的分支機(jī)構(gòu)如何在地下惡意軟件和黑客論壇上擔(dān)保Sodinokibi Ransomware RaaS。
在一份新報(bào)告中,邁克菲的研究人員通過(guò)根據(jù)以上會(huì)員發(fā)布的交易ID跟蹤會(huì)員的資金追蹤,繼續(xù)對(duì)Sodinokibi Ransomware進(jìn)行分析。
資金跟蹤
在研究Sodinokibi Ransomware會(huì)員時(shí),?McAfee?從該會(huì)員名為L(zhǎng)alartu的會(huì)員?那里找到了?另一個(gè)論壇帖子,該會(huì)員以前曾擔(dān)保過(guò)RaaS。
在此論壇帖子中,該會(huì)員發(fā)布了部分交易ID的屏幕快照,在72小時(shí)內(nèi)支付了大約287,499.00美元的贖金。
會(huì)員發(fā)布的交易?(來(lái)源:McAfee)
通過(guò)查看勒索軟件的現(xiàn)有樣本,McAfee能夠確定平均勒索付款在.44到.45比特幣之間,相當(dāng)于約4,000美元。該平均價(jià)格還與Lalartu屏幕截圖中顯示的贖金付款相關(guān)。
在?區(qū)塊?鏈數(shù)據(jù)分析公司?Chainalysis?的幫助下,邁克菲能夠從會(huì)員的帖子中檢索完整的交易ID,并使用它們來(lái)映射與這些贖金和會(huì)員付款相關(guān)的比特幣交易。
映射勒索付款?(來(lái)源:McAfee)
這些信息隨后成為McAfee研究Sodinokibi RaaS及其關(guān)聯(lián)公司的比特幣交易的起點(diǎn)。
邁克菲公司網(wǎng)絡(luò)調(diào)查負(fù)責(zé)人約翰·福克爾(John Fokker)在一次談話中對(duì)BleepingComputer表示:“拉拉圖的付款是一個(gè)開(kāi)始,我們從那里開(kāi)始了。”?“查看會(huì)員,并根據(jù)付款部分等,我們向上游看了看開(kāi)發(fā)商部分。”
從收集到的信息中,邁克菲能夠查看其他勒索軟件付款的情況,以及會(huì)員和RaaS運(yùn)營(yíng)商之間的60/40或70/30收入分配。
“我們看到受害者向他們分配的錢(qián)包付款;從那里開(kāi)始,平均需要進(jìn)行兩到三筆交易,然后轉(zhuǎn)到“附屬”或“分配”錢(qián)包。從那個(gè)錢(qián)包中,我們看到分裂的發(fā)生是因?yàn)椤?UNKN”這個(gè)綽號(hào)在他的論壇帖子中,我們從這篇文章開(kāi)始。60%或70%的會(huì)員留在該會(huì)員,其余40/30%的會(huì)員通過(guò)多筆交易轉(zhuǎn)發(fā)給Sodinokibi背后的參與者。”
通過(guò)深入研究其他Sodinokibi分支機(jī)構(gòu)的比特幣交易,McAfee能夠更好地了解勒索軟件分發(fā)者如何利用其不義之財(cái)。
例如,下面的會(huì)員將少量的未知服務(wù)和大量的服務(wù)轉(zhuǎn)移到了Bitmix混合器,以嘗試使追蹤這些硬幣變得更加困難。
跟蹤會(huì)員的交易?(來(lái)源:McAfee)
邁克菲(McAfee)看到其他會(huì)員使用比特幣在地下市場(chǎng)上購(gòu)買服務(wù)。這些市場(chǎng)接受用于毒品,武器和黑客服務(wù)等非法物品的比特幣。
更令人擔(dān)憂的是,McAfee能夠追蹤到的較大的關(guān)聯(lián)公司之一的錢(qián)包里裝有443 BTC或約450萬(wàn)美元,表明他們是一個(gè)重要參與者。
“沿著一個(gè)特定會(huì)員的蹤跡,我們最終看到大量比特幣被轉(zhuǎn)移到一個(gè)總價(jià)值為443 BTC的錢(qián)包中,平均比特幣價(jià)格約為450萬(wàn)美元。”
比特幣交易顯然變得不那么匿名了
比特幣的創(chuàng)建是一種去中心化的方法,它可以發(fā)送付款并為買賣雙方提供更大程度的隱私,同時(shí)還提供諸如Chainalysis等新服務(wù),但隱私正在逐漸消失。
這些服務(wù)使用已經(jīng)確定的比特幣地址的大型數(shù)據(jù)庫(kù),使執(zhí)法部門(mén)可以更輕松地跟蹤比特幣的使用方式。
根據(jù)據(jù)稱Chainalysis員工已刪除的Reddit AMA的說(shuō)法,在某些情況下,這些服務(wù)還可以用于?跟蹤發(fā)件人和收件人的IP地址?。
使用IP地址,執(zhí)法人員可以更輕松地追蹤比特幣交易中使用的機(jī)器以及潛在的相關(guān)用戶。
轉(zhuǎn)載自安全加:http://toutiao.secjia.com/article/page?topid=112052
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!