2021年5月初爆发的Colonial Pipeline事情导致美国局部地区陷入能源危机,受到了美国甚至全球的关注。这是一场由勒索软件网络进犯引发的要害能源基础设施危机,对社会工作造成了严重影响。从Colonial Pipeline被迫付出赎金,到相关法律安排定位违法团伙的设备并终究追回部分赎金,整个进程充满了戏剧性。遗憾的是,无论是官方的通告亦或是其它揭露的分析报告,均只针对该事情自身供给了简略分析,疏忽了作为勒索软件服务供给商的DarkSide更为深层次的行为形式和过往行动。
正所谓知己知彼,方能百战不殆。在接下来的内容中,咱们首要带领咱们从区块链链上买卖的视角回顾此次事情,复原赎金的悉数活动进程。紧接着以本次事情为头绪,对其背面的违法团伙进行深化分析。经过分析DarkSide的赎金操作形式,再结合区块数据,咱们估测这个违法团伙从2020年10月至2021年5月至少参加了51起勒索软件进犯事情,涉事赎金累计高达9300万美元。这意味着很多的勒索事情在悄无声息地产生着,暴露在咱们眼前的或许只是冰山一角。
能够在文章终究点击 【阅读原文】或者点击: https://www.blocksecteam.com/papers/blocksec_aml_colonial_pipeline.pdf 获取关于Colonial Pipeline事情的详细报告原文。
0x1. 布景
2021年5月初,美国最大的燃油管道运营商 Colonial Pipeline 在毫无预警的状况下封闭旗下4条主干成品油管道长达一周时刻,导致美国局部地区陷入能源危机。作为要害能源基础设施,Colonial Pipeline的突然“崩溃”受到了美国甚至全球的关注。究其原因,不只是它对社会工作造成了严重影响,更是由于这是一场由勒索软件网络进犯引发的危机。
为了尽快康复工作,Colonial Pipeline于5月8日依照进犯者的要求以比特币的形式付出赎金约440万美元。这一行动彻底将当事人Colonial Pipeline和勒索软件背面的违法团伙DarkSide推上了言论的风口浪尖——DarkSide是谁?受害者付出赎金这一行为是“统筹兼顾”仍是“抱薪救火”?面对这样依据加密钱银的勒索软件进犯,应该怎么去避免和应对?勒索软件进犯并不算是“新鲜事物”,但这次事情却着实将这些问题推到了大众面前。2021年5月15日,Colonial Pipeline康复正常运营。2021年6月7日,美国司法部表明追回部分Colonial Pipeline付出的赎金。
0x1.1 时刻线梳理
2021年5月7日,美国最大的燃油管道运营商Colonial Pipeline遭受勒索软件进犯,封闭了旗下4条主干成品油管道[1][2]。
2021年5月8日,Colonial Pipeline依照进犯者要求付出赎金约75 BTC[3][4]。
2021年5月10日,FBI承认此次网络进犯中运用的勒索软件来历为DarkSide[5]。
2021年5月13日,DarkSide声称其blog、payment server、CDN server已被法律安排操控:他们不只失去了这些服务的拜访权限,payment server上的资金 (大概率是尚未搬运的赎金) 也被搬运到了一个不知道地址。此外,DarkSide宣布将当即中止合作伙伴计划 (the affiliate program)[6],不再作为勒索软件供货商向他人供给勒索软件及相关服务。但也有人猜测这是DarkSide的谎话[7]。
2021年5月15日,Colonial Pipeline康复正常运营。
2021年6月7日,美国司法部表明成功追回Colonial Pipeline付出的部分赎金63.7 BTC[8]。
几乎在同一时刻,德国的Brenntag公司也遭受了DarkSide勒索软件进犯,并于5月11日付出赎金78.29 BTC[9]。
0x1.2DarkSide 是何方神圣?
DarkSide是一个网络违法安排,也是该安排所开发的勒索软件的称号。DarkSide从2020年8月初开端活动,并在不到一个月的时刻内获利数百万美元[10]。为了提高勒索功率,DarkSide并非单兵作战,而是以“勒索即服务” (ransomware-as-a-service,RaaS) 的形式运作——DarkSide担任供给勒索软件,合作伙伴担任物色适宜的进犯方针并部署勒索软件施行进犯,勒索所得依据预设份额进行分配。依据论坛广告,赎金低于50万美元时DarkSide收取赎金的25%,赎金高于500万美元时DarkSide收取的份额降至10%[11]。而从DarkSide 2.0的发布公告来看,服务购买者也能够选择固定份额的赎金分配方案,无论终究谈妥的赎金数额,都按80:20进行分配。依据RaaS的普遍盈利战略[14],DarkSide的收入首要分两部分:一是合作伙伴为勒索软件服务付出的“注册费”,二则是每次合作伙伴勒索成功后的部分赎金。
注:本文中“合作伙伴”、“服务购买者”、“服务运用者”、“进犯者”均指代同一对象,依据语义环境替换运用。
DarkSide 2.0发布公告截图。能够看到DarkSide合作项目中的赎金分配战略非常灵敏。
0x2.复原赎金活动进程
从Colonial Pipeline遭受勒索的现实被曝光,到终究以追回部分赎金落下帷幕,整起事情中涉及的地址和买卖都未曾经过官方途径揭露披露。因而在接下来的分析中,咱们首要是依据揭露情报来进行揣度和验证。
0x2.1定位要害地址和买卖
在事情产生之初,咱们能采集到与Colonial Pipeline勒索事情相关的头绪首要有4条:
2021年5月8日,Colonial Pipeline付出赎金约75 BTC;
2021年5月11日,Brenntag受同一勒索软件进犯,付出赎金约78.29 BTC;
2021年5月13日,DarkSide声称其资金被法律安排操控搬运;
DarkSide以“勒索即服务”的形式运作,勒索成功后会抽取部分赎金。
依据头绪1、2中两笔买卖产生的大致时刻以及买卖金额,咱们在区块链上定位到了一个疑似归于DarkSide的钱包,其活动状况与上述头绪高度契合。下图截取了该钱包的相关活动细节。
注:钱包的本质是地址簇,一个钱包/簇中的地址被以为由同一实体操控。
疑似DarkSide钱包的部分活动细节。Colonial Pipeline和Brenntag勒索事情中的大部分赎金于5月13日连同钱包中的其他资金被搬运至一个不知道地址。剩下的赎金在此之前便进行了搬运,咱们会在后续“赎金的去向”中给出更多细节。
上图中的蓝色节点为此次定位到的钱包地址,紫色节点为方针钱包外的地址,黄色节点为买卖,节点之间的边代表着资金活动。咱们首要能够看到5月8日与5月11日别离产生了一笔买卖,从买卖金额来看,5月8日的买卖金额约75 BTC,与Colonial Pipeline勒索事情中的赎金数额相符;5月11日的买卖金额为78.29 BTC,与Brenntag付出的赎金金额共同。此外,这两笔疑似赎金在流入方针钱包时都进行了拆分。这个形式咱们会在后续对DarkSide进行深化分析时详细介绍,它本质上是“勒索即服务”这一运作形式在DarkSide身上的体现。终究,5月13日时方针钱包中的资金几乎全被搬运到一个紫色节点,与DarkSide声称的”payment server被法律安排操控、资金被搬运“相契合。至此,定位的DarkSide钱包彻底满意了前文说到的4条头绪。
2021年6月7日,美国司法部表明追回部分Colonial Pipeline付出的赎金63.7 BTC 并揭露了一份查封令。凭借这一份查封令,咱们验证了以上估测的正确性,并复原了赎金的完整活动进程。
0x2.2赎金的来历
依据上一末节,5月8日时Colonial Pipeline付出的赎金经一笔买卖 (下图中的赎金拆分买卖) 拆分后流入方针钱包。对买卖的输入资金进行后向追寻,咱们定位到了这笔资金的源头——GEMINI买卖所。
Colonial Pipeline勒索事情中赎金从付出到被拆分的全进程
从图中能够看到,这笔资金从GEMINI买卖所流出,先后在3个地址中停留,终究进入方针钱包。经过比照查封令中揭露的勒索地址片段,GEMINI买卖所下游的第一个紫色节点便是DarkSide向Colonial Pipeline供给的赎金付出地址。
查封令中透露的赎金付出地址片段
0x2.3赎金的去向
2021年6月7日,美国司法部表明追回部分Colonial Pipeline付出的赎金63.7 BTC[8]。咱们或许还记得前面说到5月13日DarkSide钱包资金被共同操控搬运,而这63.7 BTC刚好逃过了那次搬运。咱们鄙人图中给出了Colonial Pipeline所付出赎金的首要去向。
Colonial Pipeline所付出赎金的首要去向
5月8日赎金经拆分后分两笔流入方针钱包,15%于5月13日连同钱包中的其他资金被搬运至一个不知道地址,85%于6月7日被FBI操控——详细来说,这部分资金于5月9日时开端搬运,并在搬运进程中停留在地址XXXXXXXXXXXX950klpjcawuy4uj39ym43hs6cfsegq中。依据查封令,FBI掌控了该地址的私钥,从而查封了该地址中的悉数资金,包含Colonial Pipeline付出的85%赎金。6月7日,FBI从被操控的地址中转出约63.7 BTC,从数额上来看这笔资金很或许被归还给了Colonial Pipeline。
依据查封令,FBI经过操控方针地址的私钥,从而操控了该地址中寄存的赎金。
0x3.深化DarkSide
上一末节中咱们凭借开源情报定位到一个由25个比特币地址组成的DarkSide钱包,这个钱包从2021年3月4日开端活泼,截止到2021年5月13日 (也就是DarkSide声称payment server被操控的日期),共经过57笔买卖接纳约341BTC,折合美元约1930万。
上一末节中定位的DarkSide钱包的余额变化状况
但除了明晰知道5月8日与5月11日接纳的两笔资金别离为Colonial Pipeline和Brenntag付出的赎金,咱们无法确定该钱包其他流入资金的性质(是否是赎金);一同也无法得知在这1930万之外,DarkSide是否还有其他收入 (譬如存在不知道的DarkSide活泼地址)。也就是说,咱们尽管抓住了DarkSide的尾巴,但尚未摸透它的脾性,遑论看清它的全貌。
为了对DarkSide构成更为精确、全面的认知,咱们进行了一次探究性试验。试验首要包含以下内容:
参考Colonial Pipeline和Brenntag这两起事情中的赎金活动进程,为DarkSide的赎金操作行为树立简易模型。咱们将凭借这个模型来了解赎金活动进程中,各地址和买卖扮演的人物和承担的使命。
依据上述模型对已知的25个DarkSide地址进行分析,测验辨认不知道的勒索事情。咱们在实例分析中得到了一些有意思的定论,这些定论反过来弥补和优化了模型,并为下一步的发掘工作供给了思路。
依据前面的一切发现和经验,以已知的25个DarkSide地址作为种子,发掘更多的DarkSide地址和勒索事情。终究咱们总共找到了120个DarkSide地址和51起勒索事情。考虑到采用的发掘算法是保存的,这些或许还不是DarkSide的悉数阴暗面。
为了让咱们能切身感受探究的乐趣,咱们会依照时刻次序来分享试验进程,例如在3.1末节中会先树立一个简易的赎金活动模型,随后在3.2末节中再依据实践的试验成果来弥补优化。
0x3.1厉兵秣马:树立赎金活动模型
尽管咱们前面现已亲眼目睹了一次勒索事情中赎金的活动进程,但怎么去了解这个进程中各个买卖和地址所扮演的人物仍然是一个困扰。为此,参考已知事情中的赎金活动,再结合自身的了解,咱们为DarkSide的赎金操作行为树立了一个简易的模型。模型描述的是一次勒索事情中,赎金从受害者付出到流出DarkSide操控范围的全进程:以赎金拆分进程为中心,赎金在拆分前的活动被统称为赎金付出进程,拆分后则进入赎金搬运进程。这三个进程的详细界说如下:
赎金付出进程。从受害者付出赎金到赎金被拆分,能够了解为赎金拆分前的预处理进程。以赎金付出买卖TXp (payment transaction)为起点,赎金经TXp流入了DarkSide供给的付出地址Pin (payment input address),随后经过一系列搬运进入地址Pout (payment output address),Pout后续会作为赎金拆分进程的输入地址。
赎金拆分进程。即赎金依照预设战略进行拆分的进程。该进程以地址Pout(中的赎金)作为输入,赎金经拆分买卖TXs(separationtransaction)被分为两笔,归于进犯者的份额流入地址Sa (the address to receive the affiliate's share),归于DarkSide的份额流入地址Sd(the address to receive the DarkSide'sshare)。
赎金搬运进程。即赎金被拆分后各自进行搬运的进程。理论上,归于进犯者的份额将被搬运至进犯者的地址,归于DarkSide的份额或停留在原地址、或搬运至DarkSide的其它地址、或被DarkSide运用 (例如流入买卖所或暗网)。相应地,赎金搬运进程首要包含两条线,一条是进犯者的份额以买卖TXta(transaction for the affiliate's share)为起点进行搬运,一条是DarkSide的份额以TXtd(transactionforthe DarkSide'sshare)为起点进行搬运。
需求弥补的是,咱们之所以持有赎金一开端是由DarkSide操控,经过拆分后部分流入进犯者地址这一观念,首要有如下两个原因:1)Colonial Pipeline和Brenntag这两起事情中的赎金,经拆分后无论是DarkSide的份额仍是进犯者的份额都流入了DarkSide的钱包,这意味着经过拆分的赎金仍暂时由DarkSide操控,需求一个搬运进程将部分赎金转入进犯者的地址;2)在DarkSide的payment server被操控后,部分进犯者在相关论坛上声讨久未到账的赎金[13],这证明了进犯者在赎金活动进程中彻底处于被动的状态,只能等待着赎金流入自己的地址。尽管理论上存在付出进程由第三方操控的或许性,但咱们以为寻觅一个第三方来接纳赎金的风险过大。因而总的来说,咱们以为模型中的赎金活动都是由DarkSide操控的。
DarkSide参加勒索事情中赎金的活动模型
当然,模型不一定能彻底贴合实际中的赎金活动。例如Colonial Pipeline的赎金付出进程具有多个TXp、Pin与Pout之间存在两个买卖和一个地址;另一边也有实例的Pin和Pout是同一地址,这意味着赎金在付出后直接进行了拆分。又比如下面这个实例,归于DarkSide的份额在搬运时被分为4个批次,也就是说这个事例中存在多个TXtd。还有一点很有意思,一个赎金拆分进程是或许包含多个拆分买卖(TXs)的,咱们会在后面详细阐述这一部分。
实际中的赎金活动或许与模型存在出入。例如在这个实例中,赎金经拆分后归于DarkSide的份额被分为4个批次进行搬运,依次是1.0 BTC、2.0 BTC、3.65 BTC以及 4.0 BTC。
终究咱们还要着重介绍下赎金拆分进程。正如一开端说到的,这个模型以“赎金拆分进程”为中心。除了位置因素,还由于它相关于别的两个进程具有更安稳和显着的特征。付出进程和搬运进程中都存在不定长资金流,且其间的买卖不具有显着的特征;而另一边,赎金拆分进程的结构简略安稳,结合DarkSide揭露的赎金分配战略以及Colonial Pipeline和Brenntag这两个事例,其间的拆分买卖还具有以下特征:
仅有一个输入地址(能够有多个输入,但这些输入须来自同一个地址,例如Colonial Pipeline这个事例);
有且仅有两个输出,且两个输出别离输出至不同的地址;
两个输出与输入之间的份额契合DarkSide的赎金拆分战略;
输出地址中不包含输入地址。
因而某种意义上,赎金拆分买卖能够视作赎金活动进程这个不安稳结构的锚点。假如咱们能够找到赎金拆分买卖,就有时机复原出赎金的活动进程。
0x3.2投石问路:模型的使用和批改
对DarkSide的赎金操作行为有了开始了解后,咱们来测验发掘已知DarkSide地址参加的不知道勒索事情。依据模型,假如一个地址参加了一个赎金活动进程,那么它或许参加付出/拆分/搬运之中的任一进程。也就说,以该地址为中心的一定资金活动范围内,或许存在赎金活动进程。由于赎金活动进程具有不安稳结构,导致很难直接对其进行辨认,咱们终究决议经过辨认赎金拆分买卖来定位赎金活动进程。辨认一个DarkSide地址所参加赎金活动进程中拆分买卖的方法咱们会在3.3末节给出,这儿咱们先只考虑“DarkSide地址自身参加赎金拆分买卖”这一类状况。
要辨认一个DarkSide地址参加的赎金拆分买卖,只需求在该地址作为输入地址或输出地址的买卖中查找契合拆分买卖特征的买卖即可。考虑到DarkSide的赎金拆分战略非常灵敏 (参见布景介绍),咱们为特征3设置了一个宽松的挑选战略来避免遗失——两个输出中的较大份额 (即进犯者份额) 与买卖输入 (赎金) 的份额坐落0.75~0.9之间 (误差0.001)。经过分析,向已知25个DarkSide地址转入资金的买卖共有57笔,其间有25笔契合上述挑选条件。假设这25笔买卖确实是赎金拆分买卖,那么赎金的金额和拆分状况将如下图所示。
25笔疑似赎金拆分买卖的买卖金额和赎金分配状况。留意,赎金分配份额的核算方法是每个输出与总输入的比值,因而会呈现分配份额之和不为1的状况——这部分“消失”的输入作为买卖手续费被耗费了。
25笔买卖中有21笔的输出几乎是按80:20分配,有2笔按85:15分配 (即5月8日的Colonial Pipeline和5月11日的Brenntag)。鉴于这些买卖具有非常明晰的分配份额,咱们以为它们有极大概率是赎金拆分买卖。相较之下,3月4日以及5月13日产生的两笔买卖则不那么“典型”。
对3月4日产生的买卖,其输入只要约107美元,且两个输出与输入的比值别离为0.1和0.79 (11%输入作为买卖手续费被耗费)。对这笔买卖的资金进行前后向追寻后发现,它极有或许参加了某起勒索事情的赎金搬运进程——3月3日产生了一笔疑似赎金拆分买卖 (按80:20分配),其间归于DarkSide的份额在搬运进程中于3月4日经过方针买卖进入已知的DarkSide钱包。
3月4日产生的买卖疑似参加了一同勒索事情的赎金搬运进程
关于5月13日产生的买卖(记作TX1),其作为赎金拆分买卖存在两个反常。首要是它的输入约为100万美元,但DarkSide却仅收取了12%作为分红。其次是它产生在2021-05-13 16:58:47,而DarkSide的payment server被法律安排操控是在2021-05-13 18:03:26,假如TX1是赎金拆分买卖,那么这起事情的受害者未免过于不幸。此外,咱们相同对TX1的资金进行了前后向追寻,发现TX1的输入地址A1疑似在更早的时候参加了另一同勒索事情——2021年2月9日左右,赎金从GEMINI买卖所流入地址A1,随后在TX2处进行拆分。在这个赎金活动进程中,地址A1极有或许扮演了付出地址的人物。假如赎金付出地址不会被复用于不同的勒索事情,那么相同以A1作为输入地址的TX1就不应该是一个赎金拆分买卖。
5月13日产生的买卖或许不是赎金拆分买卖
总的来说,这25个已知的DarkSide地址极有或许参加了23笔赎金拆分买卖。但这意味着23起勒索事情吗?其实不然,拆分买卖是赎金活动进程的锚点,却不等价于勒索事情——由于一个拆分进程中或许包含多笔拆分买卖。
仔细的读者或许现已发现,咱们在挑选赎金拆分买卖时并没有约束它的买卖金额。尽管有情报[12]表明DarkSide参加的进犯事情中赎金通常坐落20万到200万美元之间,但考虑到Colonial Pipeline和Brenntag付出的赎金现已远超200万美元,咱们便决议放宽约束。而这一“放水”带来了非常有意思的成果——5月4日有9笔赎金拆分买卖的买卖金额不超越5万美元,5月1日更是有一笔仅价值2870美元的拆分买卖。尽管金额不足20万,这些买卖却具有“完美”的80:20拆分份额,那么他们是不是拆分买卖呢?
关于5月4日连续产生的9笔拆分买卖,打印相关资金搬运后能够发现这些买卖高度相关:它们具有相同的输入地址和输出地址,而且拆分后的进犯者份额后续被汇总共同进行搬运。
5月4日产生的9笔疑似赎金拆分买卖
类似地,5月1日价值2870美元的买卖与4月30日的买卖也具有相同的输入地址和输出地址。
4月30日与5月1日产生的2笔疑似赎金拆分买卖
不同的拆分买卖,却具有彻底相同的Pout(拆分买卖的输入地址),Sa(进犯者份额的输出地址),Sd(DarkSide份额的输出地址)。此外,共同的拆分份额,紧连的买卖时刻,拆分后资金合并搬运,这些现实让咱们很难不做出这样的估测:这些赎金拆分买卖归于同一勒索事情,受害者分多笔买卖付出赎金,从而导致了多笔拆分买卖。那么反过来,这是否意味着咱们能够经过Pout/Sa/Sd来将同一事情中的多笔赎金拆分买卖相关起来?又或者说,Pout/Sa/Sd在勒索事情中的重用状况到底怎么?为了回答这些问题,咱们将前面找到的23笔赎金拆分买卖中Pout、Sa以及Sd之间的联系整理如下。P_https://bicoin8.com/wp-content/uploads/2023/04/202304211cHpE0.jpgout}
23笔赎金拆分买卖以及参加地址之间的相关
S_a
图中黑色节点代表拆分买卖,绿色、红色、蓝色节点别离代表Pout(拆分买卖的输入地址),Sa(进犯者份额的输出地址),Sd(DarkSide份额的输出地址),节点之间的边代表资金活动。图中每个节点都是仅有的,每个节点的色彩也是仅有的 (没有节点一同扮演多个人物)。依据资金流联系,这些节点被聚为8个簇,别离对应(a)-(h)。能够看到,有的赎金拆分买卖是独立存在的,例如图(f)-(h);有的赎金拆分买卖则是经过一些地址被相关在了一同,例如(a)-(e)。下图中给出了不同拆分买卖之间的两种相关方法。
赎金拆分买卖间的两种相关方法
R1: 多笔赎金拆分买卖由相同的Sa衔接,每个拆分买卖具有各自的Pout和Sd。咱们的估测是,由同一进犯者施行的多起事情,归于进犯者的份额或许会被转入相同的Sa地址。详细来讲,进犯者具有在RaaS系统中申请Sa地址并为他施行的勒索事情指定Sa地址的权力。假如估测正确,那么Cononial Pipeline和Brenntag这两起勒索事情是由同一个进犯者发起的,由于它们的赎金拆分买卖具有相同的Sa。S_a
R2: 多笔赎金拆分买卖具有相同的Pout、Sa以及Sd。其原理或许是受害者分多笔买卖付出赎金,这些赎金在相同的Pout调集,经拆分后又流入相同的Sa/Sd,方便共同搬运。
总结一下,1)地址Sa或许被复用于多起事情,假如这些事情是由同一进犯者施行的;2)一对Pout和Sd只被用于一同勒索事情,假如该事情具有多笔拆分买卖,那么这些买卖具有相同的Pout、Sa和Sd。依据第二点,咱们不只能够将归于同一事情的不同赎金拆分买卖相关起来,而且能够在仅知道一个赎金拆分买卖的状况下,经过它找到同一事情中的其他拆分买卖,从而补全事情信息。
终究,咱们来回答问题——这25个已知DarkSide地址参加的23笔赎金拆分买卖共涉及了多少起事情?答案是14起:图(a)中只要1起事情,图(b)中有4起事情,(c)-(e)每图各2起,(f)-(e)每图各1起,累计14起。
0x3.3探赜索隐:发掘不知道勒索事情
这一末节中,咱们依据前文取得的一切信息来测验发掘不知道的勒索事情。与上一末节不同的是,咱们会考虑已知DarkSide地址参加付出进程和搬运进程的状况;而且在发掘勒索事情的进程中不断扩大DarkSide地址。发掘的详细进程如下:
以已知的25个DarkSide地址作为初始种子地址,记作fresh_seeds;一同初始化traced_seeds为空,用于记载一切被分析过的DarkSide地址。
对fresh_seeds中地址的资金来历与去向进行追寻。假如地址参加了赎金付出进程,在追寻资金去向的进程中有时机发现拆分买卖;反之,假如地址参加的是赎金搬运进程,在追寻资金来历的进程中或许发现拆分买卖。当然,也或许在地址直接作为输入或输出地址的买卖中发现拆分买卖。由于赎金付出进程和搬运进程存在不定长资金流,咱们无法预知需求前向/后向追寻多长间隔才干发现赎金拆分买卖。依据经验,咱们将前后向追寻的范围设置为4跳买卖,得到买卖图Gtx。完成追寻后将fresh_seeds添加到traced_seeds中。
从Gtx中辨认勒索事情,成果记作调集SE。精确来说,咱们从Gtx中辨认出赎金拆分买卖,并将Pout、Sa、Sd彻底共同的拆分买卖归为一组,每组代表一同勒索事情。这儿的勒索事情还需求额定契合两个特征:1)事情包含的一切拆分买卖具有相同的拆分份额,且份额只能是80:20、85:15、90:10三者之一;2)事情涉及的勒索金额累计超越10万美元。S_https://bicoin8.com/wp-content/uploads/2023/04/202304211cHpE0.jpgE}
对SE中每个事情,检查其拆分买卖中是否存在地址Pout、Sa、Sd不归于raced_seeds。如是,意味着咱们发现了新的DarkSide地址,将这些地址和与它们同属一个钱包的其他地址作为新的fresh_seeds。
依据fresh_seeds重复进程2~4 (记作一轮探究),直到fresh_seeds为空。在此进程中,Gtx会被不断扩大 (开端新一轮探究时不会重置Gtx)。
依据终究的Gtx辨认勒索事情 (相同需求契合进程3中列出的两个特征)。G_https://bicoin8.com/wp-content/uploads/2023/04/202304211cHpE0.jpgtx}
经过5轮探究,咱们终究辨认了51起事情,涉事赎金累计约9300万美元。出人意料的是,最近两起事情的赎金金额 (Colonial Pipeline和Brenntag付出的赎金都约为440万美元) 或许并不是DarkSide的历史最高记载。依据检测成果,2021年1月27日产生的一次勒索事情收取赎金约1500万美元,2021年2月13日也有一次价值1000万美元的勒索事情,而这两起事情的赎金拆分份额也确实契合拆分战略,都是90:10。
经过上述分析,咱们从区块链上发掘出了51起DarkSide参加的勒索事情,包含5月份产生的两起已知事情。
需求指出的是,咱们的发掘方法是保存的:
首要是赎金拆分买卖的判定。进程3仅将契合80:20、85:15、90:10这三种拆分份额之一的事情辨以为有效事情,但依据DarkSide的赎金拆分战略,实践的拆分份额或许更多样化。
其次是DarkSide地址的判定。进程4依据赎金拆分买卖的输入地址和输出地址来扩大DarkSide地址,但依据前面树立的赎金活动模型,赎金的付出进程和搬运进程中也充斥着DarkSide地址。
这也就意味着,咱们发掘出来的还不是DarkSide的悉数阴暗面。
0x4. 结语
正如文章开头所说,Colonial Pipeline勒索事情到此告一段落,但留给咱们的问题却远未解决。这篇文章中咱们复原了Colonial Pipeline勒索事情中赎金的活动进程,分析了DarkSide的赎金操作行为,并依据行为特征发掘出了DarkSide参加的其他勒索事情。然而咱们所知的仍然有限:一方面,Colonial Pipeline勒索事情并非终点,新的勒索软件进犯事情仍然在不断地酝酿和呈现;另一方面,在DarkSide之外,也存在着其它勒索软件服务供给商。还有诸多疑问需求一步厘清:其它依据RaaS的勒索安排有着怎样的赎金操控形式?怎么辨认DarkSide之外其他RaaS勒索安排施行的进犯事情?能否经过监控区块链上的买卖来捕捉正在产生的勒索事情?上述问题的答案有待于咱们进一步的探究,也期待在不远的将来能给咱们分享更多更为深化的发现。
参考文献
5·7美输油管道黑客进犯事情
Colonial Pipeline cyber attack
Colonial Pipeline paid 75 Bitcoin, or roughly $5 million, to hackers.
Seizure Warrant
Here's the hacking group responsible for the Colonial Pipeline shutdown
The moral underground? Ransomware operators retreat after Colonial Pipeline hack
DarkSide ransomere servers reportedly seized, operation shuts down
DOJ seizes millions in ransom paid by Colonial Pipeline
Chemical distributor pays $4.4 million to DarkSide ransomware
DarkSide: New targeted ransomware demands million dollar ransoms
Shining a Light on DarkSide Ransomware Operations
Threat analysis: DarkSide Ransomware
DarkSide Getting Taken to ‘Hackers’ Court’ For Not Paying Affiliates
What is Ransomware as a Service (RaaS)? The dangerous threat to world security
