網絡安全的“極端天氣”:DarkSide
責編:gltian |2021-05-24 13:52:47
癱瘓半個美國的輸油管道,“倒逼”拜登政府總統行政命令,沒有人能想到,勒索軟件組織DarkSide在5月份的一次“贖金風暴”,對全球網絡安全產業的影響力堪比斯諾登和震網病毒等里程碑事件。
在預防和預測類似DarkSide這樣的“極端天氣”網絡攻擊之前,業界迫切需要對DarkSide的運營方式和贖金流向進行深入研究。DarkSide如何短時間(不到一年時間內)通過勒索軟件攻擊獲取并洗白數千萬美元?如何在攻擊得手后不留痕跡,逍遙法外?
近日,Anchain.AI創始人兼首席執行官方春生(Victor Fang)博士、Law&Forensics LLC聯合創始人丹尼爾·加里(Daniel Garrie,福布斯專家委員會成員,國際權威的網絡安全律師),聯合撰文解密了DarkSide鮮為人知的“贖金漂洗流程”,并授權安全牛獨家中文報道,內容如下:
總部位于舊金山的區塊鏈網絡安全公司AnChain.AI一直在追蹤臭名昭著的Darkside勒索軟件,該軟件2021年5月破壞了Colonial Pipeline公司5500英里的輸油管道,導致整個美國東南部的燃料短缺,并宣布進入緊急狀態(State of emergency)。AnChain.AI與領先的網絡安全法律專家以及法律技術公司Law&Forensics LLC的聯合創始人Daniel Garrie Esq合作,獨家披露了迄今最深入的DarkSide勒索軟件攻擊區塊鏈取證時間表,以及DarkSide如何使用Coinjoin混合策略來混淆比特幣贖金。
眾所周知,加密貨幣是勒索軟件的理想支付工具,并且在未來的攻擊中依然如此。本文闡明了企業,個人,VASP(加密貨幣交易平臺)和政府如何更好地為下一波勒索軟件攻擊做好準備。
DarkSide如何“漂洗”比特幣
下面的時間軸復盤了DarkSide黑客組織如何利用大約30個比特幣地址的錢包集群啟動了針對輸油管道商Colonial Pipeline勒索軟件活動,該集群其實在2021年3月4日就已經啟用,至5月13日持續活躍了70天,收割贖金總額超過300個比特幣,價值超過1600萬美元。這些贖金來自Colonial Pipeline(美國最大的成品油管道系統公司)、Brenntag(德國大型化工公司)以及其他未具名受害者。
圖1:DarkSide勒索軟件比特幣流程時間表
該比特幣錢包集群當前余額為0,疑似已被放棄。自5月13日以來,大多數勒索軟件都處于休眠狀態。自5月1日以來,黑客一直通過一種稱為Coinjoin的復雜混合技術來清洗從勒索軟件活動中獲得的比特幣。
Coinjoin是一種加密貨幣混淆(mixing)算法系統,通過混淆大量UTXO交易提高追蹤復雜度,讓傳統的貨幣反洗錢追蹤方法完全失效。通過AnChain.AI獨立研發的自動跟蹤人工智能技術,我們得以揭示Coinjoin的策略并追蹤其復雜的洗錢途徑,其中一條途徑如下所示。
圖2:從2021年5月1日開始的,DarkSide的比特幣Coinjoin混合路徑
圖3:5月1日與DarkSide黑客洗錢相關的一項比特幣Coinjoin混合交易,如圖所示,在該操作中混淆了14多個比特幣。
如何防御DarkSide勒索軟件?
對于不同角色,我們建議采取以下對策:
1.企業和個人用戶:
防病毒軟件仍然是防御DarkSide勒索軟件的最有效方法, 檢測率在87%。VirusTotal(谷歌Google旗下公司)平臺的69個AV殺毒軟件終端供應商中,有60個都可以檢測到Darkside惡意軟件,包括FireEye、Symantec、McAfee和Microsoft。但是,截至本文撰寫時(5月19日),百度、騰訊、奇虎360和Yandex(基于俄羅斯)的殺毒軟件仍然無法檢測DarkSide。AnChain.AI敦促所有網絡安全供應商盡快更新DarkSide勒索軟件檢測,保護企業和個人用戶。
FireEye Mandiant剛剛發布了有關DarkSide惡意軟件分析博客。
除防病毒軟件外,對于企業而言,擁有定期測試的書面網絡安全事件響應計劃也很重要。一個好的事件響應計劃將制定協議,以在事件響應團隊,業務利益相關者,內部和外部顧問以及其他相關利益相關者之間進行協調。許多組織使用特定于勒索軟件的事件響應計劃來解決勒索軟件攻擊的獨特技術,業務和法律方面。任何組織的關鍵是制定一個與人員和技術環境相適應的事件響應計劃。此外,必須使用桌面練習或勒索軟件模擬定期測試事件響應計劃。
圖4: DarkSide勒索病毒檢測結果匯總,來源: VirusTotal (谷歌)。
2.?虛擬貨幣服務商 VASP:
虛擬貨幣服務商VASP在打擊加密貨幣洗錢方面需要完善AML反洗錢系統,保護平臺用戶。正如AnChain.AI報告指出,DarkSide黑客組織一直在清洗從Colonial Pipeline勒索軟件活動中獲得的千萬美金比特幣。VASP需要確保鏈上AML過濾引擎的完整性和預防性,以便完全符合您所在監管轄區的要求,例如美國的OFAC,FinCEN,SEC和OCC;新加坡的新加坡金融管理局;和歐盟的5AMLS等。
3.政府與監管機構:
世界各國的司法管轄區仍然在探索提高其加密貨幣AML法規的效率。 加密貨幣很難監管,但并非不可能。UTXO和基于智能合約的混幣器方法,以及不斷增長的上億級別的匿名加密貨幣地址空間,使得政府和監管機構無法有效執法。
譬如,美國財政部旗下的外國資產控制辦公室?OFAC,目前采用OFAC制裁名單(sanction list)對于使用加密貨幣作為支付工具的復雜網絡犯罪分子和恐怖分子來說總是遲到一步,?目前難以有效防御這種新興的網絡威脅。
在5月12日的DarkSide攻擊爆發期間,美國總統拜登簽署了關于改善國家網絡安全性的白宮行政命令。該行政命令明確定義了網絡安全周期和響應貢獻(CCCC)中的不同階段,在這些階段中,特別強調了入侵防御、檢測和響應對于勒索軟件防御至關重要。
本次DarkSide?勒索軟件極端天氣事件堪稱2021年網絡安全行業黑天鵝,希望敲響警鐘,提高世界各國采取更加有效的防御措施。
參考資料:
有關Coinjoin混合的更多信息:
https://anchainai.medium.com/cryptocurrency-mixers-pt-1-from-privacy-tool-to-billion-dollar-laundering-machine-80140e14aeb5
關于DarkSide勒索軟件的運營:
https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html
拜登政府《改善美國網絡安全的行政命令》原文:
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
來源:安全牛