市值115亿美元勒索软件难题-加密货币取证解决方案

115亿美元,这是勒索软件在2019年给美国造成的损失,比去年增加了近40亿美元。但是勒索软件的影响远远超出了金钱。勒索软件群体专门针对弱势群体,甚至针对正在进行的COVID-19大流行中的重点医院攻击。

从1989年问世以来到现在,预防勒索软件的方法一直没有太大成效。随着RaaS(勒索软件即服务)的兴起,目前它已成为一个行业,其数量巨大。

图1:按行业划分的RaaS(勒索软件即服务)的国际经济学。FireEye Mandiant,2020年

正如Law&Forensics创始人和AnChain.AI顾问Daniel B.Garrie Esq。指出的那样,在2020年10月1日发布的公告中,与OFAC指定的SDN(特殊指定的个人)一起从事勒索软件支付的机构将受到基于严格责任的制裁。尽管不知道或有理由知道它正在根据OFAC制裁法律和法规与被禁止的人进行交易,但仍可能承担民事责任,严重损害了勒索软件入侵的事实响应:机构的保险提供者通过经纪人支付赎金。
唯一的解决方案是从头开始,构建一个全面的解决方案,以解决现代勒索软件响应的短期,中期和长期目标。

加密货币取证:一种更现代的方法

现代勒索软件攻击的复杂性不断增加,因此必须做出同样明智的反应。在2020年10月1日的同一公告中,OFAC首先警告了违反CFT(打击资助恐怖主义)工作的潜在责任,并建议实施更强大的合规计划。要整合当前过时的勒索软件响应手册与更持久的解决方案之间的差距,需要花费时间。在此之前,解决方案在于能够揭露基于加密的网络攻击通常是晦涩的起源。
AnChain.AI团队调查了100多个勒索软件家族,并深入研究了三个臭名昭著的勒索软件家族的比特币交易历史:Locky,WannaCry和Ryuk。
但是,利用区块链取证,我们可以开始为勒索软件菌株建立唯一的配置文件,识别可以被补救的活动模式,否则将被忽略。

图2:勒索软件比特币钱包的平均停留时间:Locky,WannaCry和Ryuk。

就象WannaCry勒索软件攻击一样具有标志性意义,2017年发生的事件可能代表了现代勒索软件最简单的面孔。如图2所示,无所不在的Ryuk等更现代的变体不仅更快地转移了收到的资金,如图2所示,其平均比特币驻留时间缩短了近十倍,而且利用了完全不同的渗透方法。这样的加密货币取证反映了类似的行为见解,例如Mandiant的APT恶意软件停留时间分析。

图3:勒索软件变体的交易流入/流出

然而,随着勒索软件攻击的复杂性持续增长,勒索软件的响应已成为一种越来越狭narrow的努力,组织绝大多数选择了向保险提供商索取赎金。

通过利用加密货币取证,我们开始观察单个勒索软件病毒的独特特征。从图6至图8可以看出,独特的交易模式提供了即时了解攻击者来源的信息,包括国际勒索软件温床的广泛趋势。

图4:流入/流出事务-Ryuk(黑客在UTC 14:00–23:00活跃。可能是欧洲人。)
图5:进/出交易-Locky(骇客有效的UTC 8:00–18:00。可能是欧洲人)
图6:流入/流出事务-WannaCry(黑客在UTC 9:00 -16:00进行活动。可能是俄语)
图7:国际Ryuk勒索软件受害者热图。
卡巴斯基,2019

这些信息不仅可以促进勒索软件活动的整体发展,而且可以使用诸如我们的CISO调查平台之类的区块链取证工具进行进一步迭代。利用下图10所示的自动跟踪等人工智能技术,可以构建案例以从加密货币交易所等清算门户获取关键的KYC信息,从而为国际执法机构提供了进行刑事调查的可能性。

图8:AI驱动的勒索软件资金自动追踪流向交易所

勒索软件不断演变的面孔
AnChain.AI威胁研究小组总结了勒索软件黑客组织的TTP(战术,技术和程序)的主要行为特征以及WannaCry,Locky和Ryuk的黑客归因。

3个勒索软件系列的不同类型

从标志性的WannaCry到更现代的Ryuk的无数变种,每个病毒株都展现出其自身独特的质量,从而带来了巨大的网络安全困境。简而言之,对于攻击者而言,对旧的勒索软件经典软件进行细微的改动要比组织保护自身免受各种可能的变迁要容易得多。
甚至在最近OFAC的声明使这种方法的基本可行性受到质疑之前,它就已经开始显示其时代了,创建了一个危险的大型猎物经济,勒索软件攻击者越来越多地将攻击目标对准更大的组织,并要求越来越高的赎金。不管喜欢与否,比特币和其他加密货币将继续作为赎金支付。

小编总结:

要解决日益严重的勒索软件流行,需要采取多管齐下的解决方案:

  • 利用加密货币取证作为黑客归因的强大工具。
  • 预防性取证,阻止勒索软件支付给受制裁的企业或个人。
  • 基于AI / ML的智能技术可支持符合OFAC的AML / CFT,并在可能时启用勒索软件付款。
  • 全面的政策,教育和技术解决方案,可减少勒索软件攻击的长期发生。

保护自己免受勒索软件威胁的紧迫性没有比现在更紧迫的时间,尽管OFAC的公告可能会质疑我们当前勒索软件应对策略的可行性,但它们也为应对这种新威胁打开了新途径。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

IT到底是重要呢还是重要呢还是重要呢