来源:Chainalysis;编译:邓通,喜来顺财经
2024 年,勒索软件格局发生了重大变化,加密货币继续在勒索中发挥核心作用。然而,由于执法行动增加、国际合作改善以及越来越多的受害者拒绝支付,赎金总额同比下降了约 35%。
作为回应,许多攻击者改变了策略,新的勒索软件毒株从重新命名、泄露或购买的代码中出现,反映出更具适应性和敏捷性的威胁环境。勒索软件操作也变得更快,谈判通常在数据泄露后数小时内开始。攻击者包括民族国家行为者、勒索软件即服务 (RaaS) 操作、单独操作员和数据盗窃勒索团体,例如那些从云服务提供商 Snowflake 勒索和窃取数据的人。
在本章中,我们将探讨这些发展及其影响,包括各种案例研究 — LockBit、伊朗勒索软件毒株、Akira/Fog 和 INC/Lynx — 以体现今年的趋势。
2024年,勒索软件攻击者从受害者那里获得了约8.1355亿美元的付款,较2023年创纪录的12.5亿美元下降了35%,这是自2022年以来勒索软件收入首次下降。
正如我们在年中犯罪更新中指出的那样,2024 年 1 月至 6 月期间勒索软件攻击者勒索的金额已达到 4.598 亿美元,比 2023 年同期勒索的金额高出约 2.38%。2024 年上半年还出现了几笔异常大的支付,例如创纪录的 7500 万美元支付给 Dark Angels。
尽管 2024 年的总额出现了小幅的半数增长 (HoH),但我们预计到年底 2024 年将超过 2023 年的总额。然而幸运的是,支付活动在 2024 年 7 月之后放缓了约 34.9%。这种放缓类似于 2021 年以来赎金支付的半数下降以及 2024 年下半年某些类型的加密相关犯罪(例如被盗资金)的整体下降。值得注意的是,今年的下降幅度比过去三年更为明显。
仔细研究上半年收入排名前 10 的勒索软件毒株,可以深入了解推动这些 HoH 趋势的团体。如下图所示,自 2023 年 3 月以来,Akira 已针对超过 250 个实体发起攻击,是上半年排名前 10 的勒索软件毒株中唯一在 2024 年下半年加大力度的毒株。LockBit 于 2024 年初被英国国家犯罪局 (NCA) 和美国联邦调查局 (FBI) 破坏,其下半年支付额下降了约 79%,展现了国际执法合作的有效性。ALPHV/BlackCat 曾是 2023 年收入最高的毒株之一,于 2024 年 1 月退出,在下半年留下空白。
勒索软件事件响应公司 Coveware 的事件响应高级总监 Lizzie Cookson 告诉我们:“在 LockBit 和 BlackCat/ALPHV 倒闭后,市场再也没有恢复到以前的状态。我们看到了单独行动者的增加,但我们没有看到任何团体迅速吸收他们的市场份额,就像我们在之前的高调拆除和关闭之后看到的那样。当前的勒索软件生态系统中充斥着许多新来者,他们倾向于将精力集中在中小型市场上,而这些市场反过来又与更适中的赎金要求有关。”
为了进一步了解导致下半年勒索软件支付活动减少的原因,我们首先查看了数据泄露网站,这些网站可能是勒索软件事件的代表。在下图中,我们可以看到下半年勒索软件事件的数量有所增加,但链上支付有所下降,这表明受害者数量有所增加,但支付的金额却有所减少。
2024 年数据泄露网站公布的受害者数量比以往任何一年都多。不仅有更多所谓的受害者,而且据 Recorded Future 威胁情报分析师 Allan Liska 称,2024 年有 56 个新的数据泄露网站——是 Recorded Future 在 2023 年发现数量的两倍多。然而,数据泄露网站信息以及它对勒索软件生态系统的启示有一些注意事项需要考虑。
eCrime 威胁研究员 Corsin Camichel 分享了更多有关泄密合法性的信息。“我们观察到泄密网站帖子声称组织存在,但在更深入的分析中却失败了。例如,我们看到了跨国组织的声明,但实际上,只有一家较小的子公司受到了影响。2024 年,超过 100 个组织被列在两个或多个数据泄露网站上。‘MEOW’ 泄密网站在其中扮演了重要角色,似乎破坏了网站并列出了从网络服务器或数据库中获取的数据。”上述勒索软件支付和数据泄露网站受害者之间存在反比关系的另一个原因可能是威胁行为者被发现夸大或谎报受害者或重新发布旧受害者的索赔。“LockBit 运营商在名为‘Operation Cronos’的执法行动后玩弄花招,假装保持相关性和活跃性,因为他们再次重新发布了许多之前列出的索赔,或者添加了很久以前发生的攻击,有些甚至是一年前发生的,”Camichel 补充道。
Liska 还与我们分享了有关发布到数据泄露网站上的非法受害者的信息,并表示:“LockBit 尤其如此,在执法行动后被许多地下社区排斥后,为了保持相关性,该公司在其数据泄露网站上发布了高达 68% 的重复或直接捏造的受害者。”
在 LockBit 中断和 BlackCat 退出骗局之后,另一个有趣的现象是 RansomHub RaaS 的崛起,它吸收了大量来自 LockBit 和 BlackCat 的流离失所的运营商。根据 Camichel 的数据,RansomHub 在 2024 年的受害者数量最多,尽管 2024 年 2 月才出现,但根据链上数据,它跻身 2024 年十大犯罪类型之列。
事件响应数据显示,索要金额和支付金额之间的差距继续扩大;在 2024 年下半年,这两个因素之间的差异为 53%。事件响应公司的报告表明,大多数客户选择完全不付款,这意味着实际差距比下面的数字显示的要大。
我们采访了网络安全事件响应公司 Kivu Consulting 的 EMEA 事件响应总监 Dan Saunders,以了解有关这种受害者恢复力的更多信息。 “根据我们的数据,大约 30% 的谈判最终以付款或受害者决定支付赎金告终。通常,这些决定是基于被泄露数据的感知价值做出的,”他表示。同样,Cookson 指出,由于网络卫生状况和整体弹性的改善,受害者越来越能够抵制要求并探索从攻击中恢复的多种选择。“他们最终可能会认为解密工具是他们的最佳选择,并协商减少最终付款,但更常见的是,他们发现从最近的备份中恢复是更快、更具成本效益的途径,”她补充道。无论最初的要求是什么,最终付款金额通常在 150,000 美元到 250,000 美元之间。
从下图中我们可以看到勒索软件支付分布在 2024 年的演变。2020 年,勒索软件支付有一个长尾但只有一个高峰,但在 2024 年,勒索软件参与者分为三类。一些勒索软件参与者,例如 Phobos,平均支付额在 500 美元至 1,000 美元以下。另一个集群在 10,000 美元左右,第三个集群的支付额超过 100,000 美元,其中一些达到 100 万美元。我们还看到更多事件处于分布的高端,这意味着超过 100 万美元的攻击比例更大。
这种细分反映了 Cookson 观察到的勒索软件参与者格局的变化,较小的团体主导着低价值和中等价值的支付,而异常的 7-8 位数赎金将分布向右推向第三类支付。
在下图中,我们可以看到哪些压力在勒索总价值(气泡大小)、中位支付规模(X 轴)和勒索事件指数(Y 轴)方面是最糟糕的。
了解勒索软件洗钱方法可以为了解后漏洞利用威胁行为者的行为提供重要见解,使执法部门能够更有效地做出反应,并在某些情况下根据既定模式预测未来的行动。
在下图中,我们看到赎金资金主要通过中心化交易所 (CEX)(用于资金外流)、个人钱包(用于持有资金)和桥梁(试图掩盖资金流动)。我们注意到 2024 年混币器的使用量大幅下降。从历史上看,混币服务通常占勒索软件季度洗钱流量的 10% 到 15%。多年来,勒索软件参与者之间混合服务的减少非常有趣,也证明了制裁和执法行动(例如针对 Chipmixer、Tornado Cash 和 Sinbad 的行动)的破坏性影响。我们注意到,勒索软件参与者越来越依赖跨链桥来代替混币器,以促进他们的资金外流。相比之下,CEX 仍然是勒索软件洗钱策略的中流砥柱,2024 年对此类服务的依赖略高于平均水平(39%,而 2020 年至 2024 年期间为 37%)。
值得一提的是,个人钱包中存放着大量资金。奇怪的是,勒索软件运营商是一个主要受经济动机驱动的群体,他们比以往任何时候都更不愿意套现。我们认为这主要是由于执法部门针对参与或协助勒索软件洗钱的个人和服务采取了不可预测和果断的行动,导致威胁行为者对资金安全存放地点感到不安全。
虽然上图中任何一种趋势的背后都可能有多种因素,但自 2024 年 10 月以来无 KYC 交易所使用率的下降可能归因于俄罗斯交易所 Cryptex 的指定以及德国联邦刑事警察局 (BKA) 查封了 47 家俄语无 KYC 加密货币交易所——这两项行动均发生在 2024 年 9 月。这些执法行动的时间,再加上勒索软件流入无 KYC 交易所的时期,是显而易见的。
2019 年至 2024 年期间,以色列和俄罗斯双重国籍的 Rostislav Panev 据称在支持 LockBit 方面发挥了关键作用。他被指控为该组织开发了几种工具,其中一种工具使攻击者能够从连接到受感染系统的任何打印机上打印赎金单,据报道,他因此获得了约 230,000 美元的比特币 (BTC)。虽然包括 LockBit 管理员 Dimitry Yuryevich Khoroshev 在内的俄罗斯国民此前曾因参与这些攻击而受到制裁,但重要的是要认识到勒索软件确实是一种全球威胁,涉及来自世界各地的参与者。Panev 目前在以色列等待被引渡到美国,他因密谋实施欺诈、网络犯罪、电信欺诈和其他罪行而被通缉。
在 Reactor 图表中,我们可以看到,根据起诉书,从 2022 年开始,每两周从 Khoroshev 转移约 5,000 美元的 BTC。然后,从 2023 年 7 月到 2024 年初,每月约有 10,000 美元的 BTC 被转移到 Khoroshev。
Panev 的被捕可能对 LockBit 的重组能力造成重大打击,并强调,即使在犯罪发生多年后,区块链的透明性和不可篡改性仍使执法部门能够追踪非法活动并打击跨国网络犯罪集团。LockBit 的被取缔和帕内夫的被捕是 2024 年的重大胜利,并引发了向更加分散和协调性更差的生态系统的转变。
除了讲俄语的网络犯罪分子外,在过去几年中,伊朗国民还因参与协助和实施勒索软件攻击而受到美国财政部外国资产控制办公室 (OFAC) 的制裁。我们之前还注意到,有链上证据表明 LockBit 关联公司与伊朗勒索软件毒株合作,并在伊朗交易所存入资金。
幸运的是,通过我们的链上分析,我们可以识别伊朗参与者,因为他们正在重塑品牌或转向不同的 RaaS。正如我们在下面的 Chainalysis Reactor 图表中看到的那样,我们将四种不同的勒索软件毒株与同一个伊朗威胁行为者联系起来,后者很可能也部署了一种流行的 RaaS 毒株。我们还看到存款地址在多个全球交易所被重复使用,将这些看似不同的毒株联系起来——不仅相互联系,而且还证实了运营商与伊朗的关系。
自 Akira 出现以来,它已被证明能够成功利用漏洞(尤其是在企业环境中),并通过一系列引人注目的攻击获得了关注。正如我们上面提到的,Akira 是唯一一个在 2024 年下半年加大力度的十大勒索软件。
2024 年 9 月,一种新的勒索软件 Fog 进入现场,此后表现出与 Akira 非常相似的针对关键漏洞的能力。这两个组织主要专注于利用 VPN 漏洞,这使他们能够未经授权访问网络并因此部署勒索软件。
Akira 和 Fog 都使用了相同的洗钱方法,这与其他勒索软件不同,进一步支持了它们之间的联系。例如,以下 Chainalysis Reactor 图表显示,由 Akira 和 Fog 运营的几个钱包已将资金转移到同一个无 KYC 交易所。
除了 Akira 与 Fog 的关系外,我们还通过检查类似的链上行为发现了 INC 和 Lynx 勒索软件变体之间的联系。网络安全研究人员还注意到这两个变体共享源代码。
这些重叠的关系说明了勒索软件生态系统中更广泛的趋势:为了应对执法部门加强的审查,网络犯罪策略不断发展。
2024 年的勒索软件反映了执法行动、受害者抵御能力的提高以及新兴攻击趋势所推动的变化。打击行动以及与事件响应公司和区块链专家的合作有助于瓦解许多勒索软件团体,降低其盈利能力。受害者还表现出对赎金要求的更大抵制,从而扩大了赎金要求和付款之间的差距。
在执法压力下,金融策略继续适应,尽管恶意行为者在洗钱方面面临越来越大的困难。持续的合作和创新的防御措施对于巩固 2024 年取得的进展仍然至关重要。
本文仅代表作者观点,不代表喜来顺财经立场。
未经喜来顺财经许可,不得转载。
喜来顺财经
