在預防和預測類似DarkSide這樣的“極端天氣”網絡攻擊之前,業界迫切需要對DarkSide的運營方式和贖金流向進行深入研究。DarkSide如何短時間(不到一年時間內)通過勒索軟件攻擊獲取并洗白數千萬美元?又如何在攻擊得手后不留痕跡、逍遙法外?
近日,Anchain.AI創始人兼首席執行官方春生(VictorFang)博士、Law&ForensicsLLC聯合創始人丹尼爾·加里(DanielGarrie,福布斯專家委員會成員、最權威的勒索軟件律師之一),聯合撰文解密了DarkSide鮮為人知的“贖金漂洗流程”,并授權安全牛獨家中文報道,內容如下:
總部位于舊金山的區塊鏈網絡安全公司AnChain.AI一直在追蹤臭名昭著的Darkside勒索軟件,該軟件破壞了ColonialPipeline公司5500英里的輸油管道,導致整個美國東南部的燃料短缺。AnChain.AI與領先的網絡安全法律專家以及法律技術公司Law&ForensicsLLC的聯合創始人DanielGarrieEsq合作,獨家披露了迄今最深入的DarkSide勒索軟件攻擊區塊鏈取證時間表,以及DarkSide如何使用Coinjoin混合策略來混淆比特幣贖金。
眾所周知,加密貨幣是勒索軟件的理想支付工具,并且在未來的攻擊中依然如此。本文闡明了企業、個人、VASP(加密貨幣交易平臺)和政府如何更好地為下一波勒索軟件攻擊做好準備。
DarkSide如何“漂洗”比特幣
下面的時間軸顯示了DarkSide黑客組織如何利用大約30個比特幣地址的錢包集群啟動了針對輸油管道商ColonialPipeline勒索軟件活動,該集群在3月4日至5月13日持續活躍了70天,收割贖金總額超過300個比特幣,價值超過1600萬美元。這些贖金來自ColonialPipeline、Brenntag以及其他未具名受害者。
圖1:DarkSide勒索軟件比特幣流程時間表
該錢包集群當前余額為0,懷疑已被放棄。自5月13日以來,大多數勒索軟件都處于休眠狀態。自5月1日以來,黑客一直通過一種稱為Coinjoin的復雜混合技術來清洗從勒索軟件活動中獲得的比特幣。
Coinjoin是一種加密貨幣算法系統,可以讓傳統的貨幣追蹤方法完全失效。但是通過AnChain.AI的自動跟蹤AI,我們仍然能夠揭示Coinjoin的策略并追蹤其復雜的洗錢途徑,如下所示。
圖2:從2021年5月1日開始,DarkSide的比特幣Coinjoin混合路徑
圖3:5月1日與DarkSide黑客洗錢相關的一項比特幣Coinjoin混合交易,如圖所示,在該操作中混淆了14多個比特幣
如何防御DarkSide勒索軟件?
對于不同角色,我們建議采取以下對策:
1.企業和個人:
防病毒軟件仍然是防御DarkSide勒索軟件的最有效方法。每個VirusTotal(一家Google公司)的69個AV終端供應商中,有60個(包括FireEye、Symantec、McAfee和Microsoft)都可以檢測到Darkside惡意軟件。但是,截至本文撰寫時(5月19日),百度、騰訊、奇虎360和Yandex(基于俄羅斯)的安全產品仍然錯過了檢測。AnChain.AI敦促所有網絡安全供應商更新其惡意軟件檢測引擎中的DarkSide。
FireEyeMandiant剛剛發布了有關DarkSide惡意軟件操作的技術博客。
除防病毒軟件外,對于企業而言,擁有定期測試的書面網絡安全事件響應計劃也很重要。一個好的事件響應計劃將制定協議,以在事件響應團隊、業務利益相關者、內部和外部顧問以及其他相關利益相關者之間進行協調。許多組織使用特定于勒索軟件事件響應計劃來解決勒索軟件攻擊的獨特技術。任何組織的關鍵是制定一個與人員和技術環境相適應的業務和法律方面的事件響應計劃。此外,必須使用桌面練習或勒索軟件模擬定期測試事件響應計劃。
2.加密貨幣行業,VASP:
在打擊加密貨幣洗錢方面采取明確立場。正如AnChain.AI所確定的那樣,DarkSide黑客組織一直在清洗從ColonialPipeline勒索軟件活動中獲得的比特幣。需要確保鏈上AML過濾引擎的完整性和預防性,以便完全符合您所在監管轄區的要求,例如美國的OFAC、FinCEN、SEC和OCC;新加坡的新加坡金融管理局;歐盟的5AMLS。
3.政府與監管機構:
大多數司法管轄區一直在執行其加密貨幣AML法規。
加密貨幣很難監管,但并非不可能。UTXO和基于智能合約的混合方法,以及資金規模數以十億計的匿名加密貨幣地址空間使政府和監管機構(例如OFAC)難以有效防御這種新興的網絡威脅。例如,OFAC制裁名單對于使用加密貨幣作為支付工具的復雜網絡犯罪分子和恐怖分子來說總是遲到一步。
在5月12日的DarkSide攻擊爆發期間,美國總統拜登簽署了關于改善國家網絡安全性的白宮行政命令。該行政命令明確定義了網絡安全周期和響應貢獻(CCCC)中的不同階段,在這些階段中,特別強調了入侵防御、檢測和響應對于勒索軟件防御至關重要。
