在預(yù)防和預(yù)測(cè)類似DarkSide這樣的“極端天氣”網(wǎng)絡(luò)攻擊之前，業(yè)界迫切需要對(duì)DarkSide的運(yùn)營(yíng)方式和贖金流向進(jìn)行深入研究。DarkSide如何短時(shí)間(不到一年時(shí)間內(nèi))通過(guò)勒索軟件攻擊獲取并洗白數(shù)千萬(wàn)美元?又如何在攻擊得手后不留痕跡、逍遙法外?

 

　　近日，Anchain.AI創(chuàng)始人兼首席執(zhí)行官方春生(VictorFang)博士、Law&ForensicsLLC聯(lián)合創(chuàng)始人丹尼爾·加里(DanielGarrie，福布斯專家委員會(huì)成員、最權(quán)威的勒索軟件律師之一)，聯(lián)合撰文解密了DarkSide鮮為人知的“贖金漂洗流程”，并授權(quán)安全牛獨(dú)家中文報(bào)道，內(nèi)容如下：

 

　　總部位于舊金山的區(qū)塊鏈網(wǎng)絡(luò)安全公司AnChain.AI一直在追蹤臭名昭著的Darkside勒索軟件，該軟件破壞了ColonialPipeline公司5500英里的輸油管道，導(dǎo)致整個(gè)美國(guó)東南部的燃料短缺。AnChain.AI與領(lǐng)先的網(wǎng)絡(luò)安全法律專家以及法律技術(shù)公司Law&ForensicsLLC的聯(lián)合創(chuàng)始人DanielGarrieEsq合作，獨(dú)家披露了迄今最深入的DarkSide勒索軟件攻擊區(qū)塊鏈取證時(shí)間表，以及DarkSide如何使用Coinjoin混合策略來(lái)混淆比特幣贖金。

 

　　眾所周知，加密貨幣是勒索軟件的理想支付工具，并且在未來(lái)的攻擊中依然如此。本文闡明了企業(yè)、個(gè)人、VASP(加密貨幣交易平臺(tái))和政府如何更好地為下一波勒索軟件攻擊做好準(zhǔn)備。

 

 

　　下面的時(shí)間軸顯示了DarkSide黑客組織如何利用大約30個(gè)比特幣地址的錢包集群?jiǎn)?dòng)了針對(duì)輸油管道商ColonialPipeline勒索軟件活動(dòng)，該集群在3月4日至5月13日持續(xù)活躍了70天，收割贖金總額超過(guò)300個(gè)比特幣，價(jià)值超過(guò)1600萬(wàn)美元。這些贖金來(lái)自ColonialPipeline、Brenntag以及其他未具名受害者。

 

圖1：DarkSide勒索軟件比特幣流程時(shí)間表

 

　　該錢包集群當(dāng)前余額為0，懷疑已被放棄。自5月13日以來(lái)，大多數(shù)勒索軟件都處于休眠狀態(tài)。自5月1日以來(lái)，黑客一直通過(guò)一種稱為Coinjoin的復(fù)雜混合技術(shù)來(lái)清洗從勒索軟件活動(dòng)中獲得的比特幣。

 

　　Coinjoin是一種加密貨幣算法系統(tǒng)，可以讓傳統(tǒng)的貨幣追蹤方法完全失效。但是通過(guò)AnChain.AI的自動(dòng)跟蹤AI，我們?nèi)匀荒軌蚪沂綜oinjoin的策略并追蹤其復(fù)雜的洗錢途徑，如下所示。

 

圖2：從2021年5月1日開(kāi)始，DarkSide的比特幣Coinjoin混合路徑

 

圖3：5月1日與DarkSide黑客洗錢相關(guān)的一項(xiàng)比特幣Coinjoin混合交易，如圖所示，在該操作中混淆了14多個(gè)比特幣

 

 

　　對(duì)于不同角色，我們建議采取以下對(duì)策：

 

 

　　防病毒軟件仍然是防御DarkSide勒索軟件的最有效方法。每個(gè)VirusTotal(一家Google公司)的69個(gè)AV終端供應(yīng)商中，有60個(gè)(包括FireEye、Symantec、McAfee和Microsoft)都可以檢測(cè)到Darkside惡意軟件。但是，截至本文撰寫時(shí)(5月19日)，百度、騰訊、奇虎360和Yandex(基于俄羅斯)的安全產(chǎn)品仍然錯(cuò)過(guò)了檢測(cè)。AnChain.AI敦促所有網(wǎng)絡(luò)安全供應(yīng)商更新其惡意軟件檢測(cè)引擎中的DarkSide。

 

　　FireEyeMandiant剛剛發(fā)布了有關(guān)DarkSide惡意軟件操作的技術(shù)博客。

 

　　除防病毒軟件外，對(duì)于企業(yè)而言，擁有定期測(cè)試的書面網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃也很重要。一個(gè)好的事件響應(yīng)計(jì)劃將制定協(xié)議，以在事件響應(yīng)團(tuán)隊(duì)、業(yè)務(wù)利益相關(guān)者、內(nèi)部和外部顧問(wèn)以及其他相關(guān)利益相關(guān)者之間進(jìn)行協(xié)調(diào)。許多組織使用特定于勒索軟件事件響應(yīng)計(jì)劃來(lái)解決勒索軟件攻擊的獨(dú)特技術(shù)。任何組織的關(guān)鍵是制定一個(gè)與人員和技術(shù)環(huán)境相適應(yīng)的業(yè)務(wù)和法律方面的事件響應(yīng)計(jì)劃。此外，必須使用桌面練習(xí)或勒索軟件模擬定期測(cè)試事件響應(yīng)計(jì)劃。

 

 

　　在打擊加密貨幣洗錢方面采取明確立場(chǎng)。正如AnChain.AI所確定的那樣，DarkSide黑客組織一直在清洗從ColonialPipeline勒索軟件活動(dòng)中獲得的比特幣。需要確保鏈上AML過(guò)濾引擎的完整性和預(yù)防性，以便完全符合您所在監(jiān)管轄區(qū)的要求，例如美國(guó)的OFAC、FinCEN、SEC和OCC;新加坡的新加坡金融管理局;歐盟的5AMLS。

 

 

　　大多數(shù)司法管轄區(qū)一直在執(zhí)行其加密貨幣AML法規(guī)。

 

　　加密貨幣很難監(jiān)管，但并非不可能。UTXO和基于智能合約的混合方法，以及資金規(guī)模數(shù)以十億計(jì)的匿名加密貨幣地址空間使政府和監(jiān)管機(jī)構(gòu)(例如OFAC)難以有效防御這種新興的網(wǎng)絡(luò)威脅。例如，OFAC制裁名單對(duì)于使用加密貨幣作為支付工具的復(fù)雜網(wǎng)絡(luò)犯罪分子和恐怖分子來(lái)說(shuō)總是遲到一步。

 

　　在5月12日的DarkSide攻擊爆發(fā)期間，美國(guó)總統(tǒng)拜登簽署了關(guān)于改善國(guó)家網(wǎng)絡(luò)安全性的白宮行政命令。該行政命令明確定義了網(wǎng)絡(luò)安全周期和響應(yīng)貢獻(xiàn)(CCCC)中的不同階段，在這些階段中，特別強(qiáng)調(diào)了入侵防御、檢測(cè)和響應(yīng)對(duì)于勒索軟件防御至關(guān)重要。