信息化觀察網

2020年，199個比特幣錢包地址接收了勒索軟件組織所有贖金的80％。在這199個地址中，有25個超級賬戶收集了46％的贖金。

Chainalysis是一家區(qū)塊鏈分析軟件公司，負責監(jiān)控公共加密貨幣的走勢并向執(zhí)法機構提供工具，該公司追蹤了通過已知勒索軟件錢包轉移的價值超過3.486億美元的比特幣資金流向。

根據Chainalysis近日發(fā)布的分析報告，勒索軟件加密貨幣贖金付款在2020年猛增311％，大型企業(yè)的贖金動輒超過1000萬美元，總金額接近3.5億美元（下圖）：

雖然勒索軟件的攻擊頻率和贖金規(guī)模不斷增長，但是勒索軟件黑市經濟卻呈現高度集中化的趨勢，少數勒索軟件集團通過RaaS等租賃和加盟模式獲取了絕大多數的利潤，下圖是過去6年收入最高的六大勒索軟件幫派的營收統(tǒng)計：

調查發(fā)現，勒索軟件攻擊者將絕大部分贖金資金（約82％）轉移到了加密貨幣交易所和混合器，所謂混合器就是將各種來源的加密貨幣混合在一起以隱藏其來源的服務。攻擊者將其他資金投資到特定的比特幣存款地址，其功能類似于虛擬貨幣的公共銀行賬戶。

由于勒索軟件RaaS服務的興起，看似生態(tài)繁榮的勒索軟件市場（下圖）實際上大多數幫派是少數幫派控制的“馬甲”或者“加盟商”。三大勒索軟件—Ryuk、Maze和Doppelpaymer占所有已知贖金付款的一半以上。

勒索軟件如此猖獗的原因之一是大多攻擊者逃避了法律制裁（例如，與受害者不在同一個司法管轄區(qū)）。但是，如果大多數大型黑客組織都從少數已知比特幣錢包中獲取和兌現資金，這可能會切斷調查人員追溯贖金流動的機會。

根據報告（上圖），勒索軟件攻擊者將從受害者那里獲得的大部分資金轉移到主流交易所、高風險交易所（這意味著那些沒有遵從或不存在合規(guī)標準的交易所）和混合器中。但是，勒索軟件的洗錢基礎設施可能只受幾個關鍵參與者的控制，類似于勒索軟件本身的情況。

報告指出，大多數資金流入相同的比特幣錢包地址表明，不同勒索軟件在使用相同的洗錢服務，這些信息可被用來分析勒索軟件幫派之間的關系，正因如此前業(yè)界通過分析錢包地址推斷Egregor實際上就是換了個馬甲的Maze（已宣布停止活動）。此外，勒索軟件共用洗錢服務的事實對于執(zhí)法者也是重要信息，這意味著通過掐斷一個洗錢基礎設施，能夠破壞多個勒索軟件活動，特別是其變現和使用加密貨幣的能力。

金·格勞爾指出：“如果（加密貨幣贖金）沒有辦法兌現（成法幣），那么（受害者）就有可能收回他們已經支付的贖金。”

初步證據表明，少數勒索軟件運營商正向長期合作者定期付款，或使用相同的存款地址來洗錢。Chainalysis研究負責人金·格勞爾指出：“我們看到了非法資金的去向。如果一個賬戶持續(xù)收到贖金付款的60％，就基本可以判定該地址屬于勒索軟件的會員。”

除了洗錢服務外，勒索軟件運營者還向以下三類提供商發(fā)送加密貨幣，包括：

滲透測試服務：勒索軟件運營商使用它來探測潛在受害者的網絡中的弱點；

漏洞利用和訪問權限賣方（經紀人）：負責向勒索軟件運營商和其他網絡罪犯出售各種軟件漏洞或訪問權限，可以用來向受害者的網絡注入惡意軟件；

防彈托管提供商：允許網絡犯罪分子匿名購買，并提供“防彈托管”的服務商。勒索軟件運營商通常需要網絡托管來設置命令和控制（C2）域名，黑客通過該域名允許將命令發(fā)送到感染惡意軟件的受害者的計算機。