勒索軟件“財務年報”:Ryuk至少賺了1.5億美元
近日,美國威脅情報公司Advanced Intelligence和英國威脅情報公司HYAS追蹤了來自Ryuk勒索軟件受害者的(加密貨幣)資金后,發現該犯罪組織至少賺了1.5億美元。
研究人員追蹤了歸因于Ryuk惡意軟件團伙的61個比特幣錢包,發現該加密貨幣已從中介交易所轉至位于亞洲的交易所Huobi和Binance,這可能有助于他們擺脫審查。
他們發現Ryuk運營者主要使用上述兩個合法加密貨幣交易所從受害者支付的法定貨幣中兌現比特幣。
當Ryuk的受害者支付贖金時,這筆錢會先轉到經紀人手中,然后將其轉給惡意軟件運營者。然后,這筆錢會先經過洗錢服務,然后再進入合法的加密貨幣交易所,或用于支付地下市場的犯罪服務費用。
“除了火幣和幣安這兩個大型交易所之外,還有大量的加密貨幣流入到一些資金規模很小的地址中,這很可能是一種犯罪服務——將加密貨幣交換(清洗)成本地貨幣或其他數字貨幣。”研究人員解釋說。
研究人員在報告中透露,在此次調查中發現的Ryuk關聯錢包的最大的一筆贖金支付交易超過1200萬美元(365比特幣)。但這還不是支付給Ryuk的最高贖金。
之前Advanced Intelligence的一份報告中曝光的最大一筆贖金付款是2,200BTC,當時兌換為3400萬美元(截止本文發稿該筆贖金價值超過8000萬美元)。此外,Ryuk收到的贖金平均金額48個比特幣。
用法定貨幣兌現贖金并不是一個簡單輕松的過程,但是Ryuk精心設立了一個隱蔽的資金流轉鏈條(下圖),盡管安全研究人員和執法部門密切關注其活動,依然可以輕易清洗和轉移數以百萬美元計的資金。
加密貨幣兌換環節對于攻擊溯源和識別罪犯分子至關重要,因為信譽良好的交易所在轉移資金到銀行賬戶之前需要提交個人文件。但是,目前尚不清楚Huobi和Binance對個人文件驗證的嚴格程度。
Ryuk不像許多其他勒索軟件操作那樣使用基于Web的聊天,而是為每個受害者準備了兩個唯一的Protonmail地址,并使用它們進行通信。由于分析人員的可見性有限,因此很顯然,Ryuk背后的罪犯非常有商業頭腦,對受害者的身份、目的或支付能力了如指掌,Ryuk甚至為每個攻擊目標/受害者設置了一個類似“芝麻信用分”的償付能力積分,讓操作員很容易了解目標是否有利可圖。
Ryuk的攻擊鏈
Ryuk勒索軟件已經活躍了兩年多,受害者不計其數,由于組織嚴密,外界對Ryuk的內部情況和利潤幾乎一無所知。另一個利潤豐厚的勒索軟件團伙REvil(Sodinokibi)曾通過一個面向公眾的代表宣布,他們在一年內通過勒索受害者賺了1億美元,總目標是賺20億美元,因此Ryuk的“業績”很可能遠不止1.5億美元。
2020年11月之前,Ryuk的攻擊目標主要集中在醫療行業,這加劇了新冠病毒大流行的壓力。去年第三季度,Ryuk平均每周攻擊20家公司。此外,Ryuk以強硬的談判態度著稱,受害者幾乎沒有討價還價的余地。
對于勒索軟件的防范,安全專家建議首先要防止被諸如Emotet或Zloader之類的前體惡意軟件感染(勒索軟件的主要投放渠道)。此外,所有遠程訪問點都應要求多因素身份驗證(MFA),并且應限制Office宏和遠程訪問工具。對于遠程辦公成為新常態的企業來說,對網絡釣魚等網絡威脅的人員安全意識培訓也尤為重要。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
