近日，美國威脅情報公司Advanced Intelligence和英國威脅情報公司HYAS追蹤了來自Ryuk勒索軟件受害者的(加密貨幣)資金后，發(fā)現(xiàn)該犯罪組織至少賺了1.5億美元。

[[375146]]

研究人員追蹤了歸因于Ryuk惡意軟件團(tuán)伙的61個比特幣錢包，發(fā)現(xiàn)該加密貨幣已從中介交易所轉(zhuǎn)至位于亞洲的交易所Huobi和Binance，這可能有助于他們擺脫審查。

他們發(fā)現(xiàn)Ryuk運(yùn)營者主要使用上述兩個合法加密貨幣交易所從受害者支付的法定貨幣中兌現(xiàn)比特幣。

當(dāng)Ryuk的受害者支付贖金時，這筆錢會先轉(zhuǎn)到經(jīng)紀(jì)人手中，然后將其轉(zhuǎn)給惡意軟件運(yùn)營者。然后，這筆錢會先經(jīng)過洗錢服務(wù)，然后再進(jìn)入合法的加密貨幣交易所，或用于支付地下市場的犯罪服務(wù)費(fèi)用。

“除了火幣和幣安這兩個大型交易所之外，還有大量的加密貨幣流入到一些資金規(guī)模很小的地址中，這很可能是一種犯罪服務(wù)——將加密貨幣交換(清洗)成本地貨幣或其他數(shù)字貨幣。”研究人員解釋說。

研究人員在報告中透露，在此次調(diào)查中發(fā)現(xiàn)的Ryuk關(guān)聯(lián)錢包的最大的一筆贖金支付交易超過1200萬美元(365比特幣)。但這還不是支付給Ryuk的最高贖金。

之前Advanced Intelligence的一份報告中曝光的最大一筆贖金付款是2,200BTC，當(dāng)時兌換為3400萬美元(截止本文發(fā)稿該筆贖金價值超過8000萬美元)。此外，Ryuk收到的贖金平均金額48個比特幣。

用法定貨幣兌現(xiàn)贖金并不是一個簡單輕松的過程，但是Ryuk精心設(shè)立了一個隱蔽的資金流轉(zhuǎn)鏈條(下圖)，盡管安全研究人員和執(zhí)法部門密切關(guān)注其活動，依然可以輕易清洗和轉(zhuǎn)移數(shù)以百萬美元計的資金。

加密貨幣兌換環(huán)節(jié)對于攻擊溯源和識別罪犯分子至關(guān)重要，因為信譽(yù)良好的交易所在轉(zhuǎn)移資金到銀行賬戶之前需要提交個人文件。但是，目前尚不清楚Huobi和Binance對個人文件驗證的嚴(yán)格程度。

Ryuk不像許多其他勒索軟件操作那樣使用基于Web的聊天，而是為每個受害者準(zhǔn)備了兩個唯一的Protonmail地址，并使用它們進(jìn)行通信。由于分析人員的可見性有限，因此很顯然，Ryuk背后的罪犯非常有商業(yè)頭腦，對受害者的身份、目的或支付能力了如指掌，Ryuk甚至為每個攻擊目標(biāo)/受害者設(shè)置了一個類似“芝麻信用分”的償付能力積分，讓操作員很容易了解目標(biāo)是否有利可圖。

Ryuk的攻擊鏈

Ryuk勒索軟件已經(jīng)活躍了兩年多，受害者不計其數(shù)，由于組織嚴(yán)密，外界對Ryuk的內(nèi)部情況和利潤幾乎一無所知。另一個利潤豐厚的勒索軟件團(tuán)伙REvil(Sodinokibi)曾通過一個面向公眾的代表宣布，他們在一年內(nèi)通過勒索受害者賺了1億美元，總目標(biāo)是賺20億美元，因此Ryuk的“業(yè)績”很可能遠(yuǎn)不止1.5億美元。

2020年11月之前，Ryuk的攻擊目標(biāo)主要集中在醫(yī)療行業(yè)，這加劇了新冠病毒大流行的壓力。去年第三季度，Ryuk平均每周攻擊20家公司。此外，Ryuk以強(qiáng)硬的談判態(tài)度著稱，受害者幾乎沒有討價還價的余地。

對于勒索軟件的防范，安全專家建議首先要防止被諸如Emotet或Zloader之類的前體惡意軟件感染(勒索軟件的主要投放渠道)。此外，所有遠(yuǎn)程訪問點(diǎn)都應(yīng)要求多因素身份驗證(MFA)，并且應(yīng)限制Office宏和遠(yuǎn)程訪問工具。對于遠(yuǎn)程辦公成為新常態(tài)的企業(yè)來說，對網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)威脅的人員安全意識培訓(xùn)也尤為重要。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文