Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:18849 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全圈】2020年最大的4起勒索软件攻击竟存在关联?
本文来自公众号:安全圈   2021.02.22 21:21:37


关键词

勒索软件

网络安全研究人员指出,许多进行攻击的RaaS分支机构在不同病毒之间进行切换,并且许多看似不同的病毒实际上是由同一个人控制的。从区块链的角度分析,Chainalysis 团队的研究人员研究了2020年最著名的四种勒索软件之间的潜在联系:Maze、Egregor、SunCrypt和Doppelpaymer。


这四种勒索病毒去年相当活跃,攻击了Barnes & Noble、LG、Pemex和University Hospital New Jersey等知名机构。这四家机构都使用了RaaS模型,这意味着它们的分支机构自己实施了勒索软件攻击,并将每个受害者支付的部分款项返还给病毒的创建者和管理员,这四家机构还采用了“双重勒索(double extortion)”策略。勒索软件攻击虽然谈不上是什么新鲜事物,但在刚刚过去的2020年中,它正在渐渐成为各种规模、级别的企业或机构的头号威胁。


相比以往的勒索软件攻击,2020年的勒索软件攻击者们也对运营策略有所调整调整,一方面,各种规模的企业、机构都会成为勒索软件攻击的对象,不同的勒索软件运营组织在在攻击对象的选择上虽然有一些不同,但是综合来看,其整体覆盖面却更加广泛。另一方面,这些勒索软件的攻击者往往会选择窃取数据与索要赎金的方式来对受害者进行双重打击,这种手段也被称作是双重勒索。


以下是2019年末以来这四家机构的季度收入:



请注意,Egregor是在2020年第四季度(具体来说是9月中旬)之前才开始活跃的,即在Maze病毒变得不活跃之后不久。因此一些网络安全研究人员认为这是Maze和Egregor在某些方面存在联系的证据。


11月初,Maze的运营商在其网站上发布了一份公告,称由于活动放缓,该机构已停止运营。不久之后,它的大多数机构都迁移到了Egregor,导致一些人认为Maze经营者只是简单的将Maze更名为Egregor,并指示机构加入。这是相对常见的勒索软件,虽然它也可能是子机构为自己决定的Egregor是他们的最佳选择。


甚至有可能是Maze分支机构对Maze经营者感到不满,导致了分裂。然而,正如Bleeping Computer所指出的,Maze和Egregor共享了许多相同的代码,相同的勒索信的内容,并且拥有非常相似的受害者支付网站。网络安全机构Recorded Future也注意到了这一点,而且Egregor和一个名为QakBot的银行木马也有相似之处。


也不仅仅是Egregor,在另一个攻击事件中,Bleeping Computer声称Suncrypt的代表联系了他们,声称在Maze宣布关闭之前,他们属于“Maze勒索软件卡特尔”的一部分,尽管Maze否认了这一点。然而,威胁情报机构 Intel471 私下传播的一份报告也支持了这种说法。该报告称,SunCrypt的代表将他们的变种描述为“一个知名勒索病毒变种的重写和重新命名版本”。


Intel471的报告还称,SunCrypt一次只与少数几个子机构合作,SunCrypt运营商对这些子机构进行了广泛的采访和审查。因此,研究人员认为,SunCrypt和其他勒索软件之间的任何分支重叠,更有可能表明这两个病毒之间有更深层次的联系,而不仅仅是巧合。


区块链分析表明在Maze、Egregor、SunCrypt和Doppelpaymer之间存在各种重叠和其他可能的联系。


正如研究人员所述,有间接证据表明这四种病毒之间的联系,以及相关衍生产品的报告。但是我们在区块链上看到了什么链接呢?让我们从Maze和SunCrypt开始。



上面的Chainalysis Reactor图表提供了有力的证据,这表明Maze勒索软件的机构也是SunCrypt的机构。从图的底部开始,我们可以看到Maze是如何分配在勒索软件攻击中获取的资金的。


首先,每一次成功的赎金支付的大部分都进入了机构,因为他们承担了实际实施勒索软件攻击的风险。第二大的攻击是来自第三方的,虽然我们不能确定第三方的角色是什么,但我们相信它可能是一个辅助服务提供商,帮助Maze完成攻击。勒索软件攻击者通常依赖于第三方的工具,如防弹托管、渗透测试服务或访问受害者网络中的漏洞。


这些辅助服务提供商可以在网络犯罪的暗网(darknet)论坛上销售他们的产品,但并不一定参与了所有的勒索软件攻击。最后,每笔赎金中最小的一部分进入了另一个钱包,研究人员认为这个钱包属于病毒管理人员。


但是在本文的示例中,研究人员看到Maze子公司还通过中介钱包向大约疑似SunCrypt管理员地址发送了资金(约9.55比特币,价值超过90000美元),研究人员将其认定为已整合钱包的一部分与几种不同的SunCrypt攻击有关的资金。这表明Maze关联公司还是SunCrypt的关联公司,或者可能以其他方式参与SunCrypt。


另一个Reactor图显示了Egregor和Doppelpaymer勒索软件病毒之间的联系。



在这个案例中,研究人员看到Egregor钱包向疑似Doppelpaymer管理员钱包发送了大约78.9比特币,价值约85万美元。尽管目前研究人员还不能确定,但这是另一个重叠的示例。研究人员的假设是,贴有Egregor标签的钱包是两家机构的机构向Doppelpaymer的管理员发送资金。


最后,下面的Reactor图显示了研究人员认为是Maze和Egregor管理员使用相同的洗钱基础设施的一个示例。



这两种“受害者支付”钱包都通过中间钱包将资金发送到一个著名加密货币交易所的两个存款地址。根据他们的交易模式,我们认为这两个存款地址都属于场外(OTC)经纪人,他们专门帮助勒索软件运营商和其他网络犯罪分子用非法获得的加密货币交易现金。以Maze为例,这些资金在到达OTC地址之前先流经另一个涉嫌洗钱服务,尚不清楚Maze是从该服务还是从OTC本身接收现金,而且OTC经纪人和进行洗钱的人也很可能服务是一样的。


虽然这并不意味着Maze和Egregor拥有相同的管理员或机构,但这仍然是执法部门的重要潜在线索。如果没有办法将不义之财转化为现金,那么与加密货币相关的犯罪就没有必要进行了。通过监视上图所示的洗钱服务机构或腐败的场外交易经纪人等不良行为者(后者又在一个大型的知名交易所中开展业务),执法部门可能会严重阻碍Maze和Egregor盈利的能力却没有真正抓住菌株的管理员或分支机构。也不仅仅是那些特定的勒索软件。



涉嫌洗钱服务还从Doppelpaymer,WastedLocker和Netwalker勒索软件中获得了资金,整个类别的加密货币价值近290万美元。同样,它从Hydra和FEShop等暗网市场获得了价值近65万美元的加密货币,图上的两个OTC经纪人地址也有类似的犯罪风险。


虽然研究人员不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理员,但可以肯定地说,他们中的一些人有共同的机构,研究人员还知道Maze和Egregor依靠相同的OTC经纪人将加密货币转换为现金,尽管他们是以不同的方式与这些经纪人互动。


END

推荐阅读

【安全圈】朋友圈里的“大师”被抓到了!



【安全圈】加州车辆管理局警告称其承包商遭遇勒索软件攻击后 数据或遭泄露



【安全圈】惊动FBI!美佛州发现:一黑客试图在城市供水系统中“放毒”



安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「 安全圈」就点个三连吧!