网络安全的“极端天气”:DarkSide

瘫痪半个美国的输油管道,“倒逼”拜登政府总统行政命令,没有人能想到,勒索软件组织DarkSide在5月份的一次“赎金风暴”,对全球网络安全产业的影响力堪比斯诺登和震网病毒等里程碑事件。

在预防和预测类似DarkSide这样的“极端天气”网络攻击之前,业界迫切需要对DarkSide的运营方式和赎金流向进行深入研究。DarkSide如何短时间(不到一年时间内)通过勒索软件攻击获取并洗白数千万美元?又如何在攻击得手后不留痕迹、逍遥法外?

近日,Anchain.AI创始人兼首席执行官方春生(Victor Fang)博士、Law&Forensics LLC联合创始人丹尼尔·加里(Daniel Garrie,福布斯专家委员会成员、最权威的勒索软件律师之一),联合撰文解密了DarkSide鲜为人知的“赎金漂洗流程”,并授权安全牛独家中文报道,内容如下:

总部位于旧金山的区块链网络安全公司AnChain.AI一直在追踪臭名昭著的Darkside勒索软件,该软件破坏了Colonial Pipeline公司5500英里的输油管道,导致整个美国东南部的燃料短缺。AnChain.AI与领先的网络安全法律专家以及法律技术公司Law&Forensics LLC的联合创始人Daniel Garrie Esq合作,独家披露了迄今最深入的DarkSide勒索软件攻击区块链取证时间表,以及DarkSide如何使用Coinjoin混合策略来混淆比特币赎金。

众所周知,加密货币是勒索软件的理想支付工具,并且在未来的攻击中依然如此。本文阐明了企业、个人、VASP(加密货币交易平台)和政府如何更好地为下一波勒索软件攻击做好准备。

DarkSide如何“漂洗”比特币

下面的时间轴显示了DarkSide黑客组织如何利用大约30个比特币地址的钱包集群启动了针对输油管道商Colonial Pipeline勒索软件活动,该集群在3月4日至5月13日持续活跃了70天,收割赎金总额超过300个比特币,价值超过1600万美元。这些赎金来自Colonial Pipeline、Brenntag以及其他未具名受害者。

图1:DarkSide勒索软件比特币流程时间表

该钱包集群当前余额为0,怀疑已被放弃。自5月13日以来,大多数勒索软件都处于休眠状态。自5月1日以来,黑客一直通过一种称为Coinjoin的复杂混合技术来清洗从勒索软件活动中获得的比特币。

Coinjoin是一种加密货币算法系统,可以让传统的货币追踪方法完全失效。但是通过AnChain.AI的自动跟踪AI,我们仍然能够揭示Coinjoin的策略并追踪其复杂的洗钱途径,如下所示。

图2:从2021年5月1日开始,DarkSide的比特币Coinjoin混合路径

图3:5月1日与DarkSide黑客洗钱相关的一项比特币Coinjoin混合交易,如图所示,在该操作中混淆了14多个比特币

如何防御DarkSide勒索软件?

对于不同角色,我们建议采取以下对策:

1.企业和个人:

防病毒软件仍然是防御DarkSide勒索软件的最有效方法。每个VirusTotal(一家Google公司)的69个AV终端供应商中,有60个(包括FireEye、Symantec、McAfee和Microsoft)都可以检测到Darkside恶意软件。但是,截至本文撰写时(5月19日),百度、腾讯、奇虎360和Yandex(基于俄罗斯)的安全产品仍然错过了检测。AnChain.AI敦促所有网络安全供应商更新其恶意软件检测引擎中的DarkSide。

FireEye Mandiant刚刚发布了有关DarkSide恶意软件操作的技术博客。

除防病毒软件外,对于企业而言,拥有定期测试的书面网络安全事件响应计划也很重要。一个好的事件响应计划将制定协议,以在事件响应团队、业务利益相关者、内部和外部顾问以及其他相关利益相关者之间进行协调。许多组织使用特定于勒索软件事件响应计划来解决勒索软件攻击的独特技术。任何组织的关键是制定一个与人员和技术环境相适应的业务和法律方面的事件响应计划。此外,必须使用桌面练习或勒索软件模拟定期测试事件响应计划。

2.加密货币行业,VASP:

在打击加密货币洗钱方面采取明确立场。正如AnChain.AI所确定的那样,DarkSide黑客组织一直在清洗从Colonial Pipeline勒索软件活动中获得的比特币。需要确保链上AML过滤引擎的完整性和预防性,以便完全符合您所在监管辖区的要求,例如美国的OFAC、FinCEN、SEC和OCC;新加坡的新加坡金融管理局;欧盟的5AMLS。

3.政府与监管机构:

大多数司法管辖区一直在执行其加密货币AML法规。

加密货币很难监管,但并非不可能。UTXO和基于智能合约的混合方法,以及资金规模数以十亿计的匿名加密货币地址空间使政府和监管机构(例如OFAC)难以有效防御这种新兴的网络威胁。例如,OFAC制裁名单对于使用加密货币作为支付工具的复杂网络犯罪分子和恐怖分子来说总是迟到一步。

在5月12日的DarkSide攻击爆发期间,美国总统拜登签署了关于改善国家网络安全性的白宫行政命令。该行政命令明确定义了网络安全周期和响应贡献(CCCC)中的不同阶段,在这些阶段中,特别强调了入侵防御、检测和响应对于勒索软件防御至关重要。

参考资料

https://anchainai.medium.com/cryptocurrency-mixers-pt-1-from-privacy-tool-to-billion-dollar-laundering-machine-80140e14aeb5

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

标签: