Chainalysis 团队从区块链的角度分析发现 2020 年最大的 4 起勒索软件攻击实现存在关联

本文摘自《 Chainalysis 2021年加密犯罪报告》，点击此处下载完整内容。

网络安全研究人员指出，许多进行攻击的RaaS分支机构在不同病毒之间进行切换，并且许多看似不同的病毒实际上是由同一个人控制的。从区块链的角度分析，Chainalysis 团队的研究人员研究了2020年最著名的四种勒索软件之间的潜在联系：Maze、Egregor、SunCrypt和Doppelpaymer。

这四种勒索病毒去年相当活跃，攻击了Barnes & Noble、LG、Pemex和University Hospital New Jersey等知名机构。这四家机构都使用了RaaS模型，这意味着它们的分支机构自己实施了勒索软件攻击，并将每个受害者支付的部分款项返还给病毒的创建者和管理员，这四家机构还采用了“双重勒索（double extortion）”策略。勒索软件攻击虽然谈不上是什么新鲜事物，但在刚刚过去的2020年中，它正在渐渐成为各种规模、级别的企业或机构的头号威胁。

相比以往的勒索软件攻击，2020年的勒索软件攻击者们也对运营策略有所调整调整，一方面，各种规模的企业、机构都会成为勒索软件攻击的对象，不同的勒索软件运营组织在在攻击对象的选择上虽然有一些不同，但是综合来看，其整体覆盖面却更加广泛。另一方面，这些勒索软件的攻击者往往会选择窃取数据与索要赎金的方式来对受害者进行双重打击，这种手段也被称作是双重勒索。

以下是2019年末以来这四家机构的季度收入：

请注意，Egregor是在2020年第四季度(具体来说是9月中旬)之前才开始活跃的，即在Maze病毒变得不活跃之后不久。因此一些网络安全研究人员认为这是Maze和Egregor在某些方面存在联系的证据。11月初，Maze的运营商在其网站上发布了一份公告，称由于活动放缓，该机构已停止运营。不久之后，它的大多数机构都迁移到了Egregor，导致一些人认为Maze经营者只是简单的将Maze更名为Egregor，并指示机构加入。这是相对常见的勒索软件，虽然它也可能是子机构为自己决定的Egregor是他们的最佳选择。甚至有可能是Maze分支机构对Maze经营者感到不满，导致了分裂。然而，正如Bleeping Computer所指出的，Maze和Egregor共享了许多相同的代码，相同的勒索信的内容，并且拥有非常相似的受害者支付网站。网络安全机构Recorded Future也注意到了这一点，而且Egregor和一个名为QakBot的银行木马也有相似之处。

也不仅仅是Egregor，在另一个攻击事件中，Bleeping Computer声称Suncrypt的代表联系了他们，声称在Maze宣布关闭之前，他们属于“Maze勒索软件卡特尔”的一部分，尽管Maze否认了这一点。然而，威胁情报机构Intel471 私下传播的一份报告也支持了这种说法。该报告称，SunCrypt的代表将他们的变种描述为“一个知名勒索病毒变种的重写和重新命名版本”。Intel471的报告还称，SunCrypt一次只与少数几个子机构合作，SunCrypt运营商对这些子机构进行了广泛的采访和审查。因此，研究人员认为，SunCrypt和其他勒索软件之间的任何分支重叠，更有可能表明这两个病毒之间有更深层次的联系，而不仅仅是巧合。

区块链分析表明在Maze、Egregor、SunCrypt和Doppelpaymer之间存在各种重叠和其他可能的联系。

正如研究人员所述，有间接证据表明这四种病毒之间的联系，以及相关衍生产品的报告。但是我们在区块链上看到了什么链接呢?让我们从Maze和SunCrypt开始。

上面的Chainalysis Reactor图表提供了有力的证据，这表明Maze勒索软件的机构也是SunCrypt的机构。从图的底部开始，我们可以看到Maze是如何分配在勒索软件攻击中获取的资金的。首先，每一次成功的赎金支付的大部分都进入了机构，因为他们承担了实际实施勒索软件攻击的风险。第二大的攻击是来自第三方的，虽然我们不能确定第三方的角色是什么，但我们相信它可能是一个辅助服务提供商，帮助Maze完成攻击。勒索软件攻击者通常依赖于第三方的工具，如防弹托管、渗透测试服务或访问受害者网络中的漏洞。这些辅助服务提供商可以在网络犯罪的暗网(darknet)论坛上销售他们的产品，但并不一定参与了所有的勒索软件攻击。最后，每笔赎金中最小的一部分进入了另一个钱包，研究人员认为这个钱包属于病毒管理人员。

但是在本文的示例中，研究人员看到Maze子公司还通过中介钱包向大约疑似SunCrypt管理员地址发送了资金（约9.55比特币，价值超过90000美元），研究人员将其认定为已整合钱包的一部分与几种不同的SunCrypt攻击有关的资金。这表明Maze关联公司还是SunCrypt的关联公司，或者可能以其他方式参与SunCrypt。

另一个Reactor图显示了Egregor和Doppelpaymer勒索软件病毒之间的联系。

在这个案例中，研究人员看到Egregor钱包向疑似Doppelpaymer管理员钱包发送了大约78.9比特币，价值约85万美元。尽管目前研究人员还不能确定，但这是另一个重叠的示例。研究人员的假设是，贴有Egregor标签的钱包是两家机构的机构向Doppelpaymer的管理员发送资金。

最后，下面的Reactor图显示了研究人员认为是Maze和Egregor管理员使用相同的洗钱基础设施的一个示例。

这两种“受害者支付”钱包都通过中间钱包将资金发送到一个著名加密货币交易所的两个存款地址。根据他们的交易模式，我们认为这两个存款地址都属于场外(OTC)经纪人，他们专门帮助勒索软件运营商和其他网络犯罪分子用非法获得的加密货币交易现金。以Maze为例，这些资金在到达OTC地址之前先流经另一个涉嫌洗钱服务，尚不清楚Maze是从该服务还是从OTC本身接收现金，而且OTC经纪人和进行洗钱的人也很可能服务是一样的。

虽然这并不意味着Maze和Egregor拥有相同的管理员或机构，但这仍然是执法部门的重要潜在线索。如果没有办法将不义之财转化为现金，那么与加密货币相关的犯罪就没有必要进行了。通过监视上图所示的洗钱服务机构或腐败的场外交易经纪人等不良行为者（后者又在一个大型的知名交易所中开展业务），执法部门可能会严重阻碍Maze和Egregor盈利的能力却没有真正抓住菌株的管理员或分支机构。也不仅仅是那些特定的勒索软件。

涉嫌洗钱服务还从Doppelpaymer，WastedLocker和Netwalker勒索软件中获得了资金，整个类别的加密货币价值近290万美元。同样，它从Hydra和FEShop等暗网市场获得了价值近65万美元的加密货币，图上的两个OTC经纪人地址也有类似的犯罪风险。

虽然研究人员不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理员，但可以肯定地说，他们中的一些人有共同的机构，研究人员还知道Maze和Egregor依靠相同的OTC经纪人将加密货币转换为现金，尽管他们是以不同的方式与这些经纪人互动。