在預(yù)防和預(yù)測類似DarkSide這樣的“極端天氣”網(wǎng)絡(luò)攻擊之前,業(yè)界迫切需要對DarkSide的運營方式和贖金流向進行深入研究。DarkSide如何短時間(不到一年時間內(nèi))通過勒索軟件攻擊獲取并洗白數(shù)千萬美元?又如何在攻擊得手后不留痕跡、逍遙法外?
近日,Anchain.AI創(chuàng)始人兼首席執(zhí)行官方春生(VictorFang)博士、Law&ForensicsLLC聯(lián)合創(chuàng)始人丹尼爾·加里(DanielGarrie,福布斯專家委員會成員、最權(quán)威的勒索軟件律師之一),聯(lián)合撰文解密了DarkSide鮮為人知的“贖金漂洗流程”,并授權(quán)安全牛獨家中文報道,內(nèi)容如下:
總部位于舊金山的區(qū)塊鏈網(wǎng)絡(luò)安全公司AnChain.AI一直在追蹤臭名昭著的Darkside勒索軟件,該軟件破壞了ColonialPipeline公司5500英里的輸油管道,導(dǎo)致整個美國東南部的燃料短缺。AnChain.AI與領(lǐng)先的網(wǎng)絡(luò)安全法律專家以及法律技術(shù)公司Law&ForensicsLLC的聯(lián)合創(chuàng)始人DanielGarrieEsq合作,獨家披露了迄今最深入的DarkSide勒索軟件攻擊區(qū)塊鏈取證時間表,以及DarkSide如何使用Coinjoin混合策略來混淆比特幣贖金。
眾所周知,加密貨幣是勒索軟件的理想支付工具,并且在未來的攻擊中依然如此。本文闡明了企業(yè)、個人、VASP(加密貨幣交易平臺)和政府如何更好地為下一波勒索軟件攻擊做好準備。
DarkSide如何“漂洗”比特幣
下面的時間軸顯示了DarkSide黑客組織如何利用大約30個比特幣地址的錢包集群啟動了針對輸油管道商ColonialPipeline勒索軟件活動,該集群在3月4日至5月13日持續(xù)活躍了70天,收割贖金總額超過300個比特幣,價值超過1600萬美元。這些贖金來自ColonialPipeline、Brenntag以及其他未具名受害者。
圖1:DarkSide勒索軟件比特幣流程時間表
該錢包集群當前余額為0,懷疑已被放棄。自5月13日以來,大多數(shù)勒索軟件都處于休眠狀態(tài)。自5月1日以來,黑客一直通過一種稱為Coinjoin的復(fù)雜混合技術(shù)來清洗從勒索軟件活動中獲得的比特幣。
Coinjoin是一種加密貨幣算法系統(tǒng),可以讓傳統(tǒng)的貨幣追蹤方法完全失效。但是通過AnChain.AI的自動跟蹤AI,我們?nèi)匀荒軌蚪沂綜oinjoin的策略并追蹤其復(fù)雜的洗錢途徑,如下所示。
圖2:從2021年5月1日開始,DarkSide的比特幣Coinjoin混合路徑
圖3:5月1日與DarkSide黑客洗錢相關(guān)的一項比特幣Coinjoin混合交易,如圖所示,在該操作中混淆了14多個比特幣
如何防御DarkSide勒索軟件?
對于不同角色,我們建議采取以下對策:
1.企業(yè)和個人:
防病毒軟件仍然是防御DarkSide勒索軟件的最有效方法。每個VirusTotal(一家Google公司)的69個AV終端供應(yīng)商中,有60個(包括FireEye、Symantec、McAfee和Microsoft)都可以檢測到Darkside惡意軟件。但是,截至本文撰寫時(5月19日),百度、騰訊、奇虎360和Yandex(基于俄羅斯)的安全產(chǎn)品仍然錯過了檢測。AnChain.AI敦促所有網(wǎng)絡(luò)安全供應(yīng)商更新其惡意軟件檢測引擎中的DarkSide。
FireEyeMandiant剛剛發(fā)布了有關(guān)DarkSide惡意軟件操作的技術(shù)博客。
除防病毒軟件外,對于企業(yè)而言,擁有定期測試的書面網(wǎng)絡(luò)安全事件響應(yīng)計劃也很重要。一個好的事件響應(yīng)計劃將制定協(xié)議,以在事件響應(yīng)團隊、業(yè)務(wù)利益相關(guān)者、內(nèi)部和外部顧問以及其他相關(guān)利益相關(guān)者之間進行協(xié)調(diào)。許多組織使用特定于勒索軟件事件響應(yīng)計劃來解決勒索軟件攻擊的獨特技術(shù)。任何組織的關(guān)鍵是制定一個與人員和技術(shù)環(huán)境相適應(yīng)的業(yè)務(wù)和法律方面的事件響應(yīng)計劃。此外,必須使用桌面練習(xí)或勒索軟件模擬定期測試事件響應(yīng)計劃。
2.加密貨幣行業(yè),VASP:
在打擊加密貨幣洗錢方面采取明確立場。正如AnChain.AI所確定的那樣,DarkSide黑客組織一直在清洗從ColonialPipeline勒索軟件活動中獲得的比特幣。需要確保鏈上AML過濾引擎的完整性和預(yù)防性,以便完全符合您所在監(jiān)管轄區(qū)的要求,例如美國的OFAC、FinCEN、SEC和OCC;新加坡的新加坡金融管理局;歐盟的5AMLS。
3.政府與監(jiān)管機構(gòu):
大多數(shù)司法管轄區(qū)一直在執(zhí)行其加密貨幣AML法規(guī)。
加密貨幣很難監(jiān)管,但并非不可能。UTXO和基于智能合約的混合方法,以及資金規(guī)模數(shù)以十億計的匿名加密貨幣地址空間使政府和監(jiān)管機構(gòu)(例如OFAC)難以有效防御這種新興的網(wǎng)絡(luò)威脅。例如,OFAC制裁名單對于使用加密貨幣作為支付工具的復(fù)雜網(wǎng)絡(luò)犯罪分子和恐怖分子來說總是遲到一步。
在5月12日的DarkSide攻擊爆發(fā)期間,美國總統(tǒng)拜登簽署了關(guān)于改善國家網(wǎng)絡(luò)安全性的白宮行政命令。該行政命令明確定義了網(wǎng)絡(luò)安全周期和響應(yīng)貢獻(CCCC)中的不同階段,在這些階段中,特別強調(diào)了入侵防御、檢測和響應(yīng)對于勒索軟件防御至關(guān)重要。
