在預(yù)防和預(yù)測(cè)類似DarkSide這樣的“極端天氣”網(wǎng)絡(luò)攻擊之前,業(yè)界迫切需要對(duì)DarkSide的運(yùn)營(yíng)方式和贖金流向進(jìn)行深入研究。DarkSide如何短時(shí)間(不到一年時(shí)間內(nèi))通過勒索軟件攻擊獲取并洗白數(shù)千萬(wàn)美元?又如何在攻擊得手后不留痕跡、逍遙法外?
近日,Anchain.AI創(chuàng)始人兼首席執(zhí)行官方春生(VictorFang)博士、Law&ForensicsLLC聯(lián)合創(chuàng)始人丹尼爾·加里(DanielGarrie,福布斯專家委員會(huì)成員、最權(quán)威的勒索軟件律師之一),聯(lián)合撰文解密了DarkSide鮮為人知的“贖金漂洗流程”,并授權(quán)安全牛獨(dú)家中文報(bào)道,內(nèi)容如下:
總部位于舊金山的區(qū)塊鏈網(wǎng)絡(luò)安全公司AnChain.AI一直在追蹤臭名昭著的Darkside勒索軟件,該軟件破壞了ColonialPipeline公司5500英里的輸油管道,導(dǎo)致整個(gè)美國(guó)東南部的燃料短缺。AnChain.AI與領(lǐng)先的網(wǎng)絡(luò)安全法律專家以及法律技術(shù)公司Law&ForensicsLLC的聯(lián)合創(chuàng)始人DanielGarrieEsq合作,獨(dú)家披露了迄今最深入的DarkSide勒索軟件攻擊區(qū)塊鏈取證時(shí)間表,以及DarkSide如何使用Coinjoin混合策略來(lái)混淆比特幣贖金。
眾所周知,加密貨幣是勒索軟件的理想支付工具,并且在未來(lái)的攻擊中依然如此。本文闡明了企業(yè)、個(gè)人、VASP(加密貨幣交易平臺(tái))和政府如何更好地為下一波勒索軟件攻擊做好準(zhǔn)備。
DarkSide如何“漂洗”比特幣
下面的時(shí)間軸顯示了DarkSide黑客組織如何利用大約30個(gè)比特幣地址的錢包集群?jiǎn)?dòng)了針對(duì)輸油管道商ColonialPipeline勒索軟件活動(dòng),該集群在3月4日至5月13日持續(xù)活躍了70天,收割贖金總額超過300個(gè)比特幣,價(jià)值超過1600萬(wàn)美元。這些贖金來(lái)自ColonialPipeline、Brenntag以及其他未具名受害者。
圖1:DarkSide勒索軟件比特幣流程時(shí)間表
該錢包集群當(dāng)前余額為0,懷疑已被放棄。自5月13日以來(lái),大多數(shù)勒索軟件都處于休眠狀態(tài)。自5月1日以來(lái),黑客一直通過一種稱為Coinjoin的復(fù)雜混合技術(shù)來(lái)清洗從勒索軟件活動(dòng)中獲得的比特幣。
Coinjoin是一種加密貨幣算法系統(tǒng),可以讓傳統(tǒng)的貨幣追蹤方法完全失效。但是通過AnChain.AI的自動(dòng)跟蹤AI,我們?nèi)匀荒軌蚪沂綜oinjoin的策略并追蹤其復(fù)雜的洗錢途徑,如下所示。
圖2:從2021年5月1日開始,DarkSide的比特幣Coinjoin混合路徑
圖3:5月1日與DarkSide黑客洗錢相關(guān)的一項(xiàng)比特幣Coinjoin混合交易,如圖所示,在該操作中混淆了14多個(gè)比特幣
如何防御DarkSide勒索軟件?
對(duì)于不同角色,我們建議采取以下對(duì)策:
1.企業(yè)和個(gè)人:
防病毒軟件仍然是防御DarkSide勒索軟件的最有效方法。每個(gè)VirusTotal(一家Google公司)的69個(gè)AV終端供應(yīng)商中,有60個(gè)(包括FireEye、Symantec、McAfee和Microsoft)都可以檢測(cè)到Darkside惡意軟件。但是,截至本文撰寫時(shí)(5月19日),百度、騰訊、奇虎360和Yandex(基于俄羅斯)的安全產(chǎn)品仍然錯(cuò)過了檢測(cè)。AnChain.AI敦促所有網(wǎng)絡(luò)安全供應(yīng)商更新其惡意軟件檢測(cè)引擎中的DarkSide。
FireEyeMandiant剛剛發(fā)布了有關(guān)DarkSide惡意軟件操作的技術(shù)博客。
除防病毒軟件外,對(duì)于企業(yè)而言,擁有定期測(cè)試的書面網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃也很重要。一個(gè)好的事件響應(yīng)計(jì)劃將制定協(xié)議,以在事件響應(yīng)團(tuán)隊(duì)、業(yè)務(wù)利益相關(guān)者、內(nèi)部和外部顧問以及其他相關(guān)利益相關(guān)者之間進(jìn)行協(xié)調(diào)。許多組織使用特定于勒索軟件事件響應(yīng)計(jì)劃來(lái)解決勒索軟件攻擊的獨(dú)特技術(shù)。任何組織的關(guān)鍵是制定一個(gè)與人員和技術(shù)環(huán)境相適應(yīng)的業(yè)務(wù)和法律方面的事件響應(yīng)計(jì)劃。此外,必須使用桌面練習(xí)或勒索軟件模擬定期測(cè)試事件響應(yīng)計(jì)劃。
2.加密貨幣行業(yè),VASP:
在打擊加密貨幣洗錢方面采取明確立場(chǎng)。正如AnChain.AI所確定的那樣,DarkSide黑客組織一直在清洗從ColonialPipeline勒索軟件活動(dòng)中獲得的比特幣。需要確保鏈上AML過濾引擎的完整性和預(yù)防性,以便完全符合您所在監(jiān)管轄區(qū)的要求,例如美國(guó)的OFAC、FinCEN、SEC和OCC;新加坡的新加坡金融管理局;歐盟的5AMLS。
3.政府與監(jiān)管機(jī)構(gòu):
大多數(shù)司法管轄區(qū)一直在執(zhí)行其加密貨幣AML法規(guī)。
加密貨幣很難監(jiān)管,但并非不可能。UTXO和基于智能合約的混合方法,以及資金規(guī)模數(shù)以十億計(jì)的匿名加密貨幣地址空間使政府和監(jiān)管機(jī)構(gòu)(例如OFAC)難以有效防御這種新興的網(wǎng)絡(luò)威脅。例如,OFAC制裁名單對(duì)于使用加密貨幣作為支付工具的復(fù)雜網(wǎng)絡(luò)犯罪分子和恐怖分子來(lái)說(shuō)總是遲到一步。
在5月12日的DarkSide攻擊爆發(fā)期間,美國(guó)總統(tǒng)拜登簽署了關(guān)于改善國(guó)家網(wǎng)絡(luò)安全性的白宮行政命令。該行政命令明確定義了網(wǎng)絡(luò)安全周期和響應(yīng)貢獻(xiàn)(CCCC)中的不同階段,在這些階段中,特別強(qiáng)調(diào)了入侵防御、檢測(cè)和響應(yīng)對(duì)于勒索軟件防御至關(guān)重要。
